FBI raadt fabrieksreset routers aan naar aanleiding van VPNFilter-malware

De FBI raadt gebruikers van consumentenrouters en NAS-apparaten aan om ze zo snel mogelijk te rebooten. Daarmee zou de verspreiding van door de Russen gemaakt malware die zich op honderdduizenden apparaten bevindt tegengegaan moeten worden. Het gaat om de VPNFilter-malware, die vorige week ontdekt werd.

Onderzoekers van het Talos-veiligheidsteam van Cisco meldden afgelopen woensdag het bestaan van de malware. Zij schreven dat apparaten van Linksys, Mikrotik, Netgear, QNAP en TP-Link risico lopen. De malware laat aanvallers niet alleen communicatie onderscheppen, maar ook aanvallen op anderen lanceren en apparaten permanent onbruikbaar maken.

Wat te doen

Volgens het Cisco-team moet de malware wel ontwikkeld zijn door hackers die werken voor een overheid. Mogelijk zou het gaan om Russische malware. Gebruikers van de routers die besmet zijn, moeten volgens een advies van de FBI hun router op zijn minst rebooten. Tegelijk raadt men aan om de apparaten van een fabrieksreset te voorzien, zodat deze zeker veilig zijn.

Die reset zou genoeg zijn om VPNFilter tegen te gaan, door een tekortkoming in de code. Die maakt dat een reboot voldoende is om ervoor te zorgen dat de malware grotendeels gewist wordt. Het advies van de FBI is daarom ook om de routers en NAS-apparaten in elk geval van een reboot te voorzien.

“De FBI raadt elke eigenaar van een router voor kleine kantoren of huizen aan om de apparaten te rebooten, zodat de malware tijdelijk verstoord wordt en de mogelijke identificatie van geïnfecteerde apparaten makkelijker te helpen versnellen. Eigenaren wordt geadviseerd om te overwegen de remote management instellingen van apparaten uit te schakelen en, indien ingeschakeld, ze te beveiligen met sterke wachtwoorden en versleuteling. Netwerkapparaten moeten geüpdatet worden naar de meest recente firmware.”

Het is nog niet bekend hoe de gecompromitteerde apparaten precies besmet worden. Vermoed wordt dat er gebruik gemaakt wordt van bekende kwetsbaarheden en dat vooral apparaten waarvan eindgebruikers de wachtwoorden nooit aangepast heeft, besmet worden. Deze onzekerheid maakt dat de FBI alle gebruikers van mogelijk kwetsbare routers en NAS-apparaten aanraadt te rebooten.

Er zijn veertien apparaten waarvan bekend is dat ze kwetsbaar zijn voor VPNFilter:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS voor Cloud Core Routers (versies 1016, 1036 en 1072)
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS apparaten die draaien op QTS-software
  • TP-Link R600VPN