Twój domowy router z Linuksem może ulec nowemu robakowi Telnet, Remaiten

Budowanie botnetów złożonych z routerów, modemów, bezprzewodowych punktów dostępowych i innych urządzeń sieciowych nie wymaga wyrafinowanych exploitów. Remaiten, nowy robak infekujący systemy osadzone, rozprzestrzenia się, wykorzystując słabe hasła Telnet.

Remaiten to najnowsze wcielenie rozproszonych botów do odmowy usługi Linux przeznaczonych dla architektur osadzonych. Jego autorzy nazywają go KTN-Remastered, gdzie KTN najprawdopodobniej oznacza znanego bota linuksowego o nazwie Kaiten.

Podczas skanowania w poszukiwaniu nowych ofiar Remaiten próbuje połączyć się z losowymi adresami IP na porcie 23 (Telnet), a jeśli połączenie się powiedzie, próbuje się uwierzytelnić przy użyciu kombinacji nazwy użytkownika i hasła z listy często używanych poświadczeń, twierdzą naukowcy z ESET w post na blogu.

Jeśli uwierzytelnienie się powiedzie, bot wykonuje kilka poleceń w celu ustalenia architektury systemu. Następnie przesyła mały program do pobierania skompilowany dla tej architektury, który kontynuuje pobieranie pełnego bota z serwera zarządzania i kontroli.

Złośliwe oprogramowanie ma wersje dla mips, mipsel, armeabi i armebeabi. Po zainstalowaniu łączy się z kanałem IRC (Internet Relay Chat) i czeka na polecenia atakujących.

Bot obsługuje wiele poleceń do przeprowadzania różnego rodzaju ataków typu „odmowa usługi”. Może również skanować w poszukiwaniu konkurencyjnych botów DDoS w tym samym systemie i odinstalować je.

Zaskakujące jest to, że wiele urządzeń sieciowych nadal używa Telnet do zdalnego zarządzania zamiast bezpieczniejszego protokołu SSH. Szkoda też, że wiele urządzeń jest dostarczanych z domyślnie otwartą usługą Telnet.

Właściciele urządzeń powinni skorzystać z jednego z wielu bezpłatnych narzędzi do skanowania portów online, aby sprawdzić, czy ich router ma otwarty port 23, i powinni spróbować zamknąć usługę Telnet z internetowego interfejsu administracyjnego urządzenia. Niestety wiele urządzeń bramowych udostępnianych klientom przez dostawców usług internetowych nie zapewnia użytkownikom pełnego dostępu do funkcji zarządzania.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.