На прошедшей недавно виртуальной конференции VB2021 исследователи из компаний Acronis и Search-Lab рассказали о ботнете из роутеров TP-Link. Начало исследованию было положено еще в 2018 году, когда один из авторов изучал роутер модели TL-MR6400, регулярно съедавший средства с мобильного счета владельца. С высокой вероятностью роутер был взломан с использованием уязвимости, обнаруженной еще в 2015 году. В отличие от большинства IoT-ботнетов, использующих уязвимости в роутерах для атак на пользователей и DDoS, взломанные MR6400 использовались для рассылки текстовых сообщений. Среди «выловленных» в логах роутеров SMS были как обычные вредоносные сообщения типа «с вас сняли 4 евро, пройдите по ссылке, чтобы отменить», так и коды двухфакторной авторизации, а также предсказания результатов спортивных состязаний. Хотя владельцев ботнета установить не удалось, они явно продавали доступ к своей SMS-ферме тем, кто нуждался в нелегальном сервисе рассылок с дешевым ценником.
Уязвимость, закрытая в 2015 году, — тривиальнейшая. Роутер отдавал содержимое системных файлов по запросу типа «GET /login/../../../etc/passwd HTTP/1.1». Строка "/login/../../../tmp/dropbear/dropbearpwd" возвращала логин и пароль администратора. Пароль захеширован при помощи алгоритма md5 и легко восстанавливался перебором. Авторы исследования убедились, что эта же проблема типа path traversal могла использоваться для доступа к функциональности встроенного 4G-модема, возможно, и вовсе без получения пароля от админки. Хотя оценки количества устройств в ботнете не приводились, авторы говорят о пике активности в 2018 году. С тех пор ботнет сокращался, возможно, за счет переключения киберпреступников на другие устройства, установки патчей. Или за счет естественной замены устройств на новые, хотя указанный в исследовании 4G-роутер до сих пор присутствует в продаже.
Что еще произошло:
На прошлой неделе у сервиса видеостриминга Twitch произошла крупнейшая утечка данных. В открытый доступ попали 135 гигабайт данных, включая исходные коды сервиса, пароли пользователей, данные сотрудников и информацию о доходе популярных участников сервиса, средства для тестирования безопасности. Причина утечки — некорректно сконфигурированный сервер.
Крупнейшее падение сервиса на прошлой неделе не связано с вредоносной активностью. Шестичасовой даунтайм Facebook произошел из-за падения внутренней сети, в результате ввода ошибочной команды для диагностики. В отчете Facebook отмечается интересная проблема при возвращении крупного сервиса в строй: если «включить все сразу», крайне вероятен повторный выход инфраструктуры из строя, как минимум из-за резкого скачка энергопотребления. Технические специалисты соцсети сообщают, что «к счастью» сценарий полного шатдауна с последующим восстановлением был отработан. А вот система «защиты от дурака», блокирующая некорректные команды системного администратора, хоть и имелась в наличии, но не помогла.
В конце года специалисты Microsoft отключат возможность запуска макросов XLM в Office 365 по умолчанию. Этот тип макросов также известен как Excel 4.0 Macros, так как впервые был внедрен в этой версии редактора электронных таблиц еще в 1992 году. С тех пор макросы регулярно использовались для кибератак, а в прошлом году частота использования такого вредоносного ПО серьезно повысилась.
Эксперты компании F-Secure описывают детали простой уязвимости во встроенном ПО Gatekeeper для проверки цифровой подписи устанавливаемых программ в MacOS. Если длина пути при распаковке архива с программой превышает 866 символов, это позволяет обойти все проверки.
