Förra veckan rapporterade vi om vikten av att uppdatera mjukvaran i sin router. Detta gjorde vi eftersom skadeprogrammet VPNFilter lyckats infektera över en halv miljon routrar. I artikeln poängterade vi att infekterade routrar inte enbart skulle kunna användas för överbelastningsattacker. De skulle också kunna användas för att kapa kreditkortsuppgifter och inloggningsuppgifter när någon i det lokala nätverket surfar på internet. Tyvärr är det precis vad som sker nu.
Med en VPNFilter-infekterad router kan upphovsmännen avlyssna trafiken som passerar genom routern. Kreditkortsuppgifter och kontouppgifter skickas normalt krypterat från webbläsaren till webbservern för att förhindra avlyssning av detta slag (krypteringen indikeras av det gröna hänglåset och att adressen börjar med HTTPS). VPNFilter kringgår detta genom att styra om trafiken till en fejkad webbsida som inte stöder krypterade anslutningar (adressen börjar med HTTP). Adressen som står i adressfältet kan alltså vara den rätta och det enda som skiljer är att den börjar med HTTP i stället för HTTPS.
Till råga på allt är VPNFilter långt ifrån det enda skadeprogrammet som attackerar routrar just nu. Det är därför viktigt att alla uppdaterar firmware på sina routrar och fortsätter göra det på månadsbasis.
Det är också en god idé att vara extra uppmärksam på vad som står i adressfältet. Kontrollera att alla webbsidor du skickar uppgifter till har adresser som börjar med HTTPS.
Fler sårbara routrar
Säkerhetsforskarna som upptäckte VPNFilter rapporterar nu att de har upptäckt fler sårbara routrar. På listan över sårbara modeller finns nu routrar från bland annat Asus, D-link, Huawei, Linksys, Mikrotik, Netgear, TP-link, Ubiquiti (UBNT) och ZTE.
Se fullständig lista över kända sårbara routrar hos Talos (längst ned på sidan).
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.