Ihr Linux-basierter Heimrouter könnte einem neuen Telnet-Wurm, Remaiten, erliegen

Das Erstellen von Botnetzen aus Routern, Modems, drahtlosen Zugangspunkten und anderen Netzwerkgeräten erfordert keine ausgeklügelten Exploits. Remaiten, ein neuer Wurm, der eingebettete Systeme infiziert, verbreitet sich, indem er schwache Telnet-Passwörter ausnutzt.

Remaiten ist die neueste Version verteilter Denial-of-Service-Linux-Bots für eingebettete Architekturen. Seine Autoren nennen es tatsächlich KTN-Remastered, wobei KTN höchstwahrscheinlich für einen bekannten Linux-Bot namens Kaiten steht.

Beim Scannen nach neuen Opfern versucht Remaiten, eine Verbindung zu zufälligen IP-Adressen an Port 23 (Telnet) herzustellen. Wenn die Verbindung erfolgreich ist, wird versucht, sich mithilfe von Kombinationen aus Benutzername und Kennwort aus einer Liste häufig verwendeter Anmeldeinformationen zu authentifizieren, so Forscher von ESET in a Blogeintrag.

Wenn die Authentifizierung erfolgreich ist, führt der Bot mehrere Befehle aus, um die Systemarchitektur zu bestimmen. Anschließend wird ein kleines Downloader-Programm übertragen, das für diese Architektur kompiliert wurde und den vollständigen Bot von einem Command-and-Control-Server herunterlädt.

Die Malware hat Versionen für Mips, Mipsel, Armeabi und Armebeabi. Nach der Installation stellt es eine Verbindung zu einem IRC-Kanal (Internet Relay Chat) her und wartet auf Befehle von Angreifern.

Der Bot unterstützt eine Vielzahl von Befehlen zum Starten verschiedener Arten von Denial-of-Service-Angriffen. Es kann auch nach konkurrierenden DDoS-Bots auf demselben System suchen und diese deinstallieren.

Es ist überraschend, dass viele Netzwerkgeräte Telnet weiterhin für die Remoteverwaltung anstelle des sichereren SSH-Protokolls verwenden. Es ist auch bedauerlich, dass viele Geräte mit standardmäßig geöffnetem Telnet-Dienst ausgeliefert werden.

Gerätebesitzer sollten eines der vielen kostenlosen Online-Tools zum Scannen von Ports verwenden, um zu überprüfen, ob auf ihrem Router Port 23 geöffnet ist, und versuchen, den Telnet-Dienst über die webbasierte Administrationsoberfläche des Geräts herunterzufahren. Leider bieten viele Gateway-Geräte, die ISPs ihren Kunden zur Verfügung stellen, den Benutzern keinen vollständigen Zugriff auf die Verwaltungsfunktionen.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.