Hundratusentals infekterade routrar

Alla nätverksanslutna produkter måste hållas uppdaterade för att de ska vara säkra. Det gäller inte minst hemmets router, eftersom den är direktexponerad mot internet. Mängden internetanslutna routrar som kör inaktuell och sårbar mjukvara börjar bli ett enormt problem. Angripare infekterar routrarna och använder deras processorkraft och internetuppkoppling i bland annat överbelastningsattacker.

Nu har säkerhetsforskare hos Netlab 360 upptäckt ett nytt botnät med hundratusentals infekterade konsumentroutrar. De står hemma hos ovetandes privatpersoner och är redo att utföra beordrade attacker. Netlab 360 tror att angriparna tänker använda routrarna för att skicka ut skräppost och nätfiskemejl.

Bland de infekterade enheterna hittar vi framförallt routrar med inbyggda ADSL- och VDSL-modem. Routrarna kommer från bland annat D-link, Linksys, TP-link och Zyxel (se fullständig lista hos Netlab 360). Flera av dem har tyvärr slutat säljas för länge sedan, och tillverkare av konsumentroutrar brukar sällan underhålla sina modeller efter att de har lämnat butikshyllorna för gott.

Säkerhetsbristen som möjliggjort infektionen ligger i routrarnas UPnP-funktion (Universal Plug and Play), vilket är en funktion som visat sig innehålla så många säkerhetsbrister att den alltid bör inaktiveras. De flesta routrar levereras med UPnP-funktionen påslagen. Den gör det nämligen lätt för omodern mjukvara att kommunicera med servrar med internet. Förr i tiden var det vanligt att online-spel fick problem ifall funktionen av avslagen.

Vi rekommenderar alla att logga in i sin router och kontrollera om det finns nyare mjukvara tillgänglig. Vi rekommenderar också alla att stänga av UPnP-funktionen. Det exakta tillvägagångssättet för detta varierar mellan olika routermodeller. I vår demorouter för konsumentbruk (RT-AC68U) gör vi det genom att logga in som administratör på router.asus.com (sidan är endast tillgänglig från insidan av nätverket), välja WAN och stänga av UPnP.