Experti na sieťovú bezpečnosť (Cisco Talos) sa už niekoľko mesiacov aktívne venujú výskumu sofistikovaného modulárneho systému škodlivého softvéru, ktorý nazývame „VPNFilter“ vytvoreným pokročilým, pravdepodobne štátom sponzorovaným alebo štátom spriazneným aktérom.
Rozsah a schopnosti tejto novej hrozby sú naozaj závažné. Odhaduje sa, že počet infikovaných zariadení je najmenej 500 000 v najmenej 54 krajinách. Známymi zariadeniami ovplyvnenými systémom VPNFilter sú sieťové zariadenia Linksys, MikroTik, NETGEAR a TP-Link v priestore malých a domácich kancelárií (SOHO), ako aj v zariadeniach na ukladanie dát v sieti QNAP (NAS). Najnovšie poznatky hovoria o tom, že zasiahnuté sú aj zariadenia od výrobcov ASUS, D-Link, Huawei, Ubiquiti, UPVEL a ZTE.
Dosah tohto malvéru na sieťové zariadenia je zvlášť závažný, keďže jednotlivé komponenty disponujú schopnosťou krádeže prihlasovacích údajov na zabezpečené weby a monitoring protokolov Modbus SCADA. VPNfilter takisto umožňuje napadnuté zariadenia znefunkčniť na diaľku a tým znemožniť prístup k Internetu pre veľké množstvo užívateľov na celom svete.
Typ zariadení, na ktoré sa tento malvér zameriava, sa dá len ťažko ochrániť. Často sa nachádzajú na perimetri siete, bez systému ochrany proti prieniku (IPS) a zvyčajne nemajú k dispozícii iný systém ochrany ako napríklad antivírusový (AV) balík. Navyše väčšina postihnutých zariadení má verejne známe zraniteľnosti, ktoré sú pre priemerného používateľa často technicky náročné na opravu.
Vo všeobecnosti sa doporučuje:
- Používatelia smerovačov SOHO a / alebo zariadení NAS ich obnovia na predvolené hodnoty z výroby a reštartujú ich, aby odstránili potenciálne ničivý, neustále sa vyskytujúci malvér v 2. a 3. stupni
- Poskytovatelia internetových služieb, ktorí poskytujú smerovačom SOHO svojim zákazníkom, reštartujú smerovače v mene svojich zákazníkov na diaľku
- Ak máte akékoľvek zariadenie spadajúce do skupiny zasiahnutých alebo existuje podozrenie, že je ohrozené, je mimoriadne dôležité, aby ste spolupracovali s výrobcom, aby ste sa ubezpečili, že vaše zariadenie je aktuálne s najnovšími verziami opravy. Ak nie, mali by ste okamžite použiť aktualizované záplaty
- ISP proaktívne pôsobia na svojich zákazníkov aby došlo k aktualizácií sieťových zariadení na verziu, kde bude táto zraniteľnosť opravená
V prípade, že potrebujete pomôcť s komplexným zabezpečením svojej firemnej siete proti podobným hrozbám neváhajte nás kontaktovať.
Zdroj: Cisco Talos
