SHARE

Pada hari minggu waktu Jerman diketahui terdapat banyak sekali pelanggan internet dari ISP setempat mengeluhkan adanya masalah pada router mereka. Sebagian dari mereka mengeluhkan bahwa routernya tidak bisa terkoneksi dengan jaringan milik ISP, dan sebagian lagi mengeluhkan performa internet yang sangat lambat.

Sehari kemudian baru diketahui penyebab dari masalah ini adalah adanya infeksi besar-besaran dari Mirai Botnet tipe baru. Salah satu jenis worm yang sebelumnya berhasil menginfeksi jutaan CCTV dan perangkat Internet of Things (IoT) di seluruh dunia dan menyebabkan serangan DDoS yang cukup masif pada DyDNS.

tr069-request-mirai
sumber gambar: securelist.com

Mirai botnet tipe baru ini memanfaatkan celah keamanan yang ada pada modem DSL, lebih tepatnya kerentanan pada port TCP 7547 dimana port ini memang sengaja dibuka dan dapat diakses dari internet untuk keperluan management dan maintenance oleh ISP atau pemilik router.

Kerentanan ini mengakibatkan perangkat tersebut dapat dipaksa oleh attacker untuk mendownload file malware dari internet. Berdasarkan hasil analisa dari file hasil download tersebut kemudian diketahui bahwa perilaku dari malware tersebut tidak terlalu berbeda dengan Mirai botnet yang sebelumnya.

Beberapa hal yang dilakukan oleh Mirai botnet tipe baru ini adalah:

  • Mengeksploitasi kerentanan pada protokol TR-069
  • Menghapus dirinya sendiri dari filesystem dan tetap berjalan pada memory (RAM)
  • Menutup port yang memiliki celah keamanan menggunakan iptables, dalam kasus ini adalah port TCP 7547
  • Melakukan scan kearah internet untuk mencari perangkat lain yang juga memiliki kerentanan yang sama untuk kemudian dieksploitasi

Saat ini baru ada 3 jenis router yang diketahui terdampak terhadap serangan ini yakni Eir D1000 (Zyxel Modem), D-Link DSL-3780 dan Speedport Router milik Deutsche Telekom (ISP Jerman)

Hasil pencarian pada Shodan, menunjukkan setidaknya terdapat 41 juta perangkat yang memiliki port 7547 terbuka dan dapat diakses dari Internet

Bagi pelanggan yang memiliki salah satu perangkat router atau modem diatas saat ini hanya bisa menunggu pembaruan sistem dari pihak pembuatnya untuk menambal celah keamanan ini.

Referensi:

New wave of Mirai attacking home routers

‘Mirai bots’ cyber-blitz 1m German broadband routers – and your ISP could be next

Eir’s D1000 Modem Is Wide Open To Being Hacked

Port 7547 SOAP Remote Code Execution Attack Against DSL Modems

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.