Тысячи взломанных домашних роутеров атакуют сайты WordPress

  1. Ботнет с использованием Burst Attacks
  2. Взломанные домашние роутеры Взлом WordPress
  3. Другие интернет-провайдеры с уязвимыми маршрутизаторами
  4. 28 интернет-провайдеров с подозрительными моделями атак, указывающими на скомпрометированные маршрутизаторы
  5. Что такое порт 7547 и TR-069 и почему это проблема?
  6. 6,7% атак на сайты WordPress осуществляются с домашних маршрутизаторов с открытым портом 7547
  7. Риск безопасности для домашних пользователей
  8. Риск безопасности для Интернета в целом
  9. Как интернет-провайдеры могут помочь
  10. Что мы делаем

Обновление: по популярному запросу мы создали инструмент, который позволяет вам проверить, не подвержен ли ваш собственный домашний маршрутизатор проблемам, обсуждаемым в этом посте. Посетите эту страницу, чтобы проверить, открыт ли у вашего домашнего маршрутизатора порт 7547 или запущена ли уязвимая версия RomPager ,

На прошлой неделе, создавая Ежемесячный отчет об атаках Wordfence мы заметили, что Алжир переместился с позиции 60 в нашем списке «самых атакующих стран» на позицию 24. Это был большой скачок, и нам было любопытно, почему Алжир так быстро поднялся в рейтинге атак.

При ближайшем рассмотрении мы обнаружили, что более 10 000 IP-адресов в Алжире атаковали сайты WordPress в марте. Большинство IP-адресов в течение месяца только запускали от 50 до 1000 атак.

Следующая диаграмма является гистограммой. Он группирует IP-адреса по количеству атак. Как видно из всплеска слева, наиболее распространенное количество атак составляло от 100 до 200 для IP-адреса. Лишь немногие из атакующих IP-адресов сгенерировали более 2000 атак в течение всего месяца марта 2017 года.

Мы хотели узнать больше об этих атакующих IP-адресах, поэтому копали немного глубже.

Ботнет с использованием Burst Attacks

Мы извлекли список IP-адресов алжирских атак и включили время регистрации первой атаки и время последней зарегистрированной атаки. Большинство IP-адресов потратили всего несколько часов на атаку, а затем остановились на остаток месяца. Приведенная ниже гистограмма показывает, сколько IP-адресов потратили на атаку менее суток (показано как 0) по сравнению с теми, которые провели 1 или более дней. Как вы можете видеть, более 7000 IP-адресов потратили всего несколько часов на атаку в марте, прежде чем они остановились.

Эти IP-адреса включаются, выполняют несколько атак, а затем выключаются, и больше месяца их не слышат. То, что мы нашли, это ботнет это распределено по тысячам IP-адресов. Каждый IP-адрес выполняет только несколько атак, эти атаки распространяются на многие веб-сайты, и атаки длятся всего несколько минут или часов.

Злоумышленник, контролирующий этот ботнет, использует несколько уклончивых приемов. Они распространяют свои атаки по очень большому количеству IP-адресов. Они используют низкочастотные атаки, чтобы избежать блокировки. Они также распространяют свои атаки на большое количество сайтов WordPress.

Эти уклончивые методы указывают на более высокий уровень сложности, чем, например, на «PP Sks-Lugan», который мы писали в прошлом где мы видим один IP, генерирующий миллионы атак.

Взломанные домашние роутеры Взлом WordPress

Когда мы выяснили, кому принадлежит каждый из атакующих IP-адресов в Алжире, мы обнаружили, что более 97% из них принадлежат Telecom Algeria . Есть примерно 30 разных провайдеров в Алжире. Мы видим некоторые атаки из других сетей, но ничто по сравнению с объемом, который исходит от Telecom Algeria.

Атаки, которые мы видели в марте, происходили из следующих сетей:

  • У 41.96.0.0/12, который варьируется от 41.96.0.0 до 41.111.255.255, в марте было 4671 атакующих IP-адресов .
  • У 105.96.0.0/12, который колеблется от 105.96.0.0 до 105.111.255.255, было 4591 атакующих IP-адресов в марте.
  • У 154.240.0.0/12, который варьируется от 154.240.0.0 до 154.255.255.255, было 715 атакующих IP-адресов в марте.
  • У 197.112.0.0/13, который колеблется от 192.112.0.0 до 197.119.255.255, было 401 атакующих IP в марте.

Telecom Algeria является государственной собственностью телекоммуникационный провайдер в Алжире. Поэтому это крупнейший телекоммуникационный провайдер в стране.

Мы провели опрос сети на выборке из 8 962 IP-адресов в сети Telecom Algeria Мы провели опрос сети на выборке из 8 962 IP-адресов в сети Telecom Algeria. Мы получили ответы от 3855 IP-адресов.

Из этих IP-адресов мы обнаружили, что 1501 являются маршрутизаторами Zyxel, которые прослушивают порт 7547 и работают «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)».

Allegro RomPager 4.07 - это встроенный веб-сервер, который имеет серьезную уязвимость и называется Печенье несчастья от Checkpoint , который обнаружил это в 2014 году. CVE-2014-9222 ,

Похоже, что злоумышленники использовали домашние маршрутизаторы в государственной телекоммуникационной сети Алжира и используют эти маршрутизаторы для атаки на сайты WordPress по всему миру.

Другие интернет-провайдеры с уязвимыми маршрутизаторами

Алжир привлек наше внимание, потому что его рейтинг страны подскочил с 60 до 24 в нашем лучшие атакующие страны за март , Как только мы более внимательно изучили атакующие IP-адреса, мы смогли определить конкретную модель поведения для этих атакующих IP-адресов:

  • Обычно они атакуют менее 48 часов, а затем останавливаются.
  • Большинство из них генерируют менее 1000 атак.
  • Обычно на одном интернет-провайдере большое количество атакующих IP-адресов.

В результате поиска похожих шаблонов мы обнаружили, что есть несколько других интернет-провайдеров, которые, похоже, имеют ту же проблему, что и Telecom Algeria.

BSNL - Индия

BSNL - Индия

BSNL является государственным телекоммуникационным провайдером в Индии. В марте мы видели атаки с 11 495 IP-адресов в их сети.

В ходе исследования сети BSNL мы обнаружили, что:

  • 11 495 IP-адресов в сети BSNL атаковали сайты WordPress в марте.
  • Из этих атакующих IP-адресов 4857 IP-адресов также имеют открытый порт 7547.
  • Мы обнаружили, что 1635 IP-адресов, которые атаковали сайты WordPress, также работают под управлением «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)», который уязвим.

PLDT ака. Филиппинский междугородний телефон

PLDT является крупнейшим поставщиком телекоммуникационных и цифровых услуг на Филиппинах.

В ходе опроса сети PLDT мы обнаружили, что:

  • 3697 IP-адресов в их сети атаковали сайты WordPress в марте.
  • 1612 из этих атакующих IP-адресов в сети PLDT имеют открытый порт 7547.
  • 137 из этих IP-адресов работают под управлением «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)», который уязвим для удаленной эксплуатации.

28 интернет-провайдеров с подозрительными моделями атак, указывающими на скомпрометированные маршрутизаторы

После того, как мы смогли определить схему атаки скомпрометированных маршрутизаторов, мы искали других интернет-провайдеров, где шаблоны атаки соответствуют тем же критериям. То есть низкая частота атак, каждый IP-атака в течение менее 48 часов и большое количество IP-адресов атакуют сайты WordPress от определенного интернет-провайдера.

Это полный список интернет-провайдеров, которые мы обнаружили во всем мире, откуда происходят атаки, соответствующие этим критериям. Обратите внимание на низкую «среднюю атаку на столбец IP» в правой части таблицы (прокрутка вправо) и большое количество атакующих IP-адресов на ISP.

Что такое порт 7547 и TR-069 и почему это проблема?

Порт 7547 является портом управления на домашних маршрутизаторах. Это позволяет интернет-провайдерам управлять маршрутизаторами, которые их клиенты используют в своих домашних сетях. Он использует протокол TR-069 для обеспечения интерфейса управления. Протокол TR-069 может использоваться для предоставления устройств, обеспечения технической поддержки и удаленного управления, мониторинга маршрутизаторов на наличие неисправностей, диагностики, замены неисправной конфигурации и развертывания обновленного встроенного программного обеспечения.

Этот протокол и порт имели как минимум две серьезные уязвимости безопасности, связанные с ним за последние 4 года.

Мы уже упоминали уязвимость печенья несчастья который предназначен для порта управления 7547 и от чего страдают некоторые из вышеупомянутых интернет-провайдеров. RomPager версии 4.07 страдает от уязвимости файла cookie несчастного случая. В тех интернет-провайдерах, с которых мы наблюдаем атаки, 14 из 28 интернет-провайдеров имеют удаленно доступные маршрутизаторы с уязвимой версией RomPager версии 4.07 на порту 7547.

В ноябре прошлого года появилась еще одна уязвимость, позволяющая злоумышленнику использовать порт 7547 и интерфейс управления для получить административный доступ к роутеру ,

6,7% атак на сайты WordPress осуществляются с домашних маршрутизаторов с открытым портом 7547

В дополнение к сетевым опросам, проведенным нами у интернет-провайдеров, с которых происходят атаки, мы также опросили 865 467 дополнительных IP-адресов, которые за последние 3 дня участвовали в переборах или сложных атаках. Из них 57 971 имеют открытый порт 7547, что указывает на то, что они являются домашними маршрутизаторами, с которых происходят атаки.

Это означает, что 6,7% всех атак на сайты WordPress, которые мы защищаем, в течение последних 3 дней осуществлялись с домашних маршрутизаторов с открытым портом 7547.

Поисковая система Shodan, занимающаяся интернет-опросом, в настоящее время показывает, что более 41 миллиона устройств в Интернете прослушивают порт 7547. Протокол TR-069 широко используется Интернет-провайдерами во всем мире.

Риск безопасности для домашних пользователей

Если домашний маршрутизатор успешно используется, злоумышленник может получить доступ к вашей внутренней домашней сети. Они проникли в любую функцию брандмауэра, которую предоставляет маршрутизатор, и могут также обойти преобразование сетевых адресов маршрутизатора. Это позволяет им использовать внутренние цели, такие как рабочие станции, мобильные устройства, использующие устройства WiFi и IoT, такие как системы домашнего климат-контроля и домашние камеры.

Мы уже наблюдаем массовую эксплуатацию TR-069, который превратил домашние маршрутизаторы в ботнет, атакующий сайты WordPress. Вполне возможно, что эксплуатация домашней сети уже ведется.

Риск безопасности для Интернета в целом

В сентябре прошлого года OVH была атакована 1-терабайтной DDoS-атакой, одной из крупнейших в истории. Приблизительно 152 000 IOT (Internet of Things) устройств, которые были скомпрометированы, генерировали трафик в этой атаке.

Только за последний месяц мы увидели более 90 000 уникальных IP-адресов у 28 интернет-провайдеров, которые соответствуют нашей схеме атак на скомпрометированные маршрутизаторы. Мы отслеживаем эти атаки на сайтах наших клиентов, которые являются поверхностью атаки более 2 миллионов сайтов. Мы видим только пример атак, которые испытывают все сайты по всему миру. Если вы экстраполируете числа, это означает, что существует очень большое количество скомпрометированных маршрутизаторов ISP, которые выполняют атаки и действуют сообща.

На этом этапе было бы несложно сказать, что уязвимости в TR-069, возможно, создали очень большой ботнет, который может вскоре привести к самой крупной DDoS-атаке, которую когда-либо видел Интернет.

Как интернет-провайдеры могут помочь

Предоставление порта 7547 общедоступному Интернету дает злоумышленникам возможность использовать уязвимости в протоколе TR-069. Интернет-провайдеры должны отфильтровывать трафик в своей сети, исходящий из общедоступного Интернета, который ориентирован на порт 7547. Единственный трафик, который должен быть разрешен, - это трафик от их собственных серверов автоматической настройки или серверов ACS к оборудованию клиента и от него.

Уже существует большое количество скомпрометированных маршрутизаторов. Интернет-провайдеры должны немедленно начать мониторинг шаблонов трафика в своих собственных сетях на предмет вредоносных действий с целью выявления скомпрометированных маршрутизаторов. Они также должны принудительно обновить своих клиентов до прошивки, которая устраняет любые уязвимости и удаляет вредоносные программы.

Что мы делаем

В Wordfence мы ведем черный список IP-адресов в режиме реального времени для наших премиум-клиентов. Мы корректируем наши алгоритмы черного списка, чтобы идентифицировать и включать IP-адреса, которые участвуют в такого рода атаках. Мы также работаем над тем, чтобы информировать интернет-провайдеров и специалистов по безопасности о риске, который представляет TR-069, и о том, как они могут помочь снизить этот риск.