Přes 200 tisíc routerů MicroTik je ovládáno botnetovým malware. Vznikla tak jedna z největších BaaS (Botnet as a Service) služeb. Detaily v Over 200,000 MicroTik Routers Worldwide Are Under the Control of Botnet Malware
KrebsOnSecurity napaden silným DDoS útokem IoT botnetu Meris. Ten by měl být i využit pro nedávný DDoS na Cloudflare (Cloudflare pod DDoS útokem. 17.2 milionu požadavků za sekundu) či Yandex a jde hlavně o napadené routery.
Miliony děravých routerů a chyba je aktivně zneužívána a navíc je přítomna už dobrých deset let. Více v Actively exploited bug bypasses authentication on millions of routers a Freshly disclosed vulnerability CVE-2021-20090 exploited in the wild. Hodit se může i Multiple Vulnerabilities in Buffalo and Arcadyan manufactured routers
Vlastně nic nového, miliony starších routerů mají bezpečností chyby. Chybí aktualizace a i když nechybí, tak uživatelé netuší jak aktualizovat. Jen ve Velké Británii jde možná o až 7.5 milionu routerů.
Zadní vrátka (backdoor) ve firewallech a VPN Zyxelu. Oprava už byla vydána. Proč nechali ve firmware natvrdo vložený tajný účet (zyfwp) s heslem v plaintextu (co nejde změnit) a použitelný pro vstup do administrativy (i SSH) se ale chápe dost těžko. Detaily v CVE-2020-29583 a https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
Router prodávaný Walmartem a další podobné na Amazonu či eBay obsahují zadní vrátka. Ta jsou používána pro vytváření botnetů a jsou v routerech přímo od čínských výrobců. Potenciálně jde až o miliony zařízení. Detaily ve Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices
Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální…
Využívá koronavirovou epidemii i tím, že některé weby se vydávají za zdroje informací o COVID-19. Detaily v New Router DNS Hijacking Attacks Abuse Bitbucket to Host Infostealer a ohroženy jsou nejvice routery Linksys
Až 200 milionů kabelových modemů v Evropě je napadnutelných. Čerstvě objevený Cable Haunt (PDF) umožňuje útočníkům kompletně ovládnout modem (kabelový router) a je založené na software, které řada výrobců zahrnula do svých zařízení a které obsahuje bezpečnostní chybu. Ukázkový exploit viz Lyrebirds/sagemcom-fast-3890-exploit. Zmíněny a ověřeny jsou modemy od společností Sagemcom, Technicolor, Netgear a COMPAL.
Tisíce zranitelných routerů od TP-Linku – na dálku lze zařízení ovládnout. Opravu TP-Link už má, ale trvalo více než rok, než se mu ji podařilo vytvořit. Součástí je i využítí výchozího hesla (admin/pass). Viz Thousands of vulnerable TP-Link routers at risk of remote hijack kde je řeč i o tom, že výrobci routerů už neřeší…