Uw op Linux gebaseerde thuisrouter zou kunnen bezwijken voor een nieuwe Telnet-worm, Remaiten

Het bouwen van botnets bestaande uit routers, modems, draadloze toegangspunten en andere netwerkapparaten vereist geen geavanceerde exploits. Remaiten, een nieuwe worm die embedded systemen infecteert, verspreidt zich door gebruik te maken van zwakke Telnet-wachtwoorden.

Remaiten is de nieuwste incarnatie van gedistribueerde denial-of-service Linux-bots die zijn ontworpen voor embedded architecturen. De auteurs noemen het eigenlijk KTN-Remastered, waar KTN waarschijnlijk staat voor een bekende Linux-bot genaamd Kaiten.

Bij het scannen naar nieuwe slachtoffers probeert Remaiten verbinding te maken met willekeurige IP-adressen op poort 23 (Telnet) en als de verbinding succesvol is, probeert het te authenticeren met gebruikersnaam- en wachtwoordcombinaties uit een lijst met veelgebruikte inloggegevens, zeiden onderzoekers van ESET in een blogpost.

Als de authenticatie slaagt, voert de bot verschillende opdrachten uit om de systeemarchitectuur te bepalen. Vervolgens wordt een klein downloaderprogramma overgebracht dat voor die architectuur is samengesteld en vervolgens de volledige bot van een command-and-control-server downloadt.

De malware heeft versies voor mips, mipsel, armeabi en armebeabi. Na installatie maakt het verbinding met een IRC-kanaal (Internet Relay Chat) en wacht het op opdrachten van aanvallers.

De bot ondersteunt verschillende opdrachten voor het starten van verschillende soorten denial-of-service-aanvallen. Het kan ook scannen naar concurrerende DDoS-bots op hetzelfde systeem en deze verwijderen.

Het is verrassend dat veel netwerkapparaten Telnet nog steeds gebruiken voor beheer op afstand, in plaats van het veiligere SSH-protocol. Het is ook jammer dat veel apparaten standaard met Telnet-service worden geleverd.

Eigenaars van apparaten moeten een van de vele gratis online poortscan-tools gebruiken om te controleren of hun router poort 23 open heeft staan ​​en moeten proberen de Telnet-service af te sluiten via de webgebaseerde beheerinterface van het apparaat. Helaas geven veel gateway-apparaten die door ISP's aan hun klanten worden geleverd, gebruikers geen volledige toegang tot de beheerfuncties.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.