![\"allot_zuorat-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/10\/allot_zuorat-min.png\")
\nlarge
\ncenter
\nA ZuoRAT \u00e1ltal haszn\u00e1lt t\u00e1mad\u00e1si vektor<\/p>\n
2022. j\u00fanius 29-\u00e9n a Black Lotus Labs, a Lumen Technologies fenyeget\u00e9sfelder\u00edt\u0151 \u00e1ga, felfedte a biztons\u00e1gi r\u00e9s l\u00e9tez\u00e9s\u00e9t. \u00dagy t\u0171nik, hogy a program a Mirai botnet m\u00f6g\u00f6tti k\u00f3d er\u0151sen m\u00f3dos\u00edtott v\u00e1ltozata.<\/p>\n
A biztons\u00e1gi kutat\u00f3k szerint a fenyeget\u00e9s \u00c9szak-Amerik\u00e1t \u00e9s Eur\u00f3p\u00e1t c\u00e9lozta, \u00e9s k\u00e9t \u00e9vig \u00e9szrev\u00e9tlen maradhatott. A t\u00e1mad\u00e1sok 2020 okt\u00f3ber\u00e9ben kezd\u0151dtek, \u00e9s az ASUS, Cisco, DrayTek \u00e9s NETGEAR routerek ismert sebezhet\u0151s\u00e9geit c\u00e9lozt\u00e1k meg. A t\u00e1mad\u00f3k ezut\u00e1n eszk\u00f6z\u00f6ket tudtak azonos\u00edtani a h\u00e1l\u00f3zaton, \u00e9s oldalir\u00e1ny\u00fa mozg\u00e1ssal tov\u00e1bbi rendszerekhez f\u00e9rtek hozz\u00e1. Tekintettel az id\u0151z\u00edt\u00e9sre, val\u00f3sz\u00edn\u0171, hogy a t\u00e1mad\u00f3k kihaszn\u00e1lt\u00e1k a vil\u00e1gj\u00e1rv\u00e1ny okozta gyors \u00e1t\u00e1ll\u00e1st az otthoni munk\u00e1ra.<\/p>\n
A Black Lotus Labs szerint a ZuoRAT kifejezetten kish\u00e1l\u00f3zati \u00e9s otthoni routerekhez \u00f6ssze\u00e1ll\u00edtott MIPS-f\u00e1jl, amely felt\u00e9rk\u00e9pezi a gazdag\u00e9pet \u00e9s a bels\u0151 LAN-t, r\u00f6gz\u00edti a fert\u0151z\u00f6tt eszk\u00f6z\u00f6n tov\u00e1bb\u00edtott csomagokat, \u00e9s k\u00f6zbe\u00e9kel\u0151d\u00e9ses t\u00e1mad\u00e1sokat hajt v\u00e9gre (\u00fan. \u201eman-in-the-middle\u201d akci\u00f3k, azaz DNS- \u00e9s HTTPS-elt\u00e9r\u00edt\u00e9sek el\u0151re meghat\u00e1rozott szab\u00e1lyok alapj\u00e1n).
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
\nlarge
\ncenter
\nA ZuoRAT \u00e1ltal haszn\u00e1lt t\u00e1mad\u00e1si vektor<\/p>\n
A ZuoRAT t\u00e1mad\u00e1s az ismert, CVE-2020-26878 \u00e9s CVE-2020-26879 sebezhet\u0151s\u00e9gek kihaszn\u00e1l\u00e1s\u00e1val kezd\u0151dik egy Python \u00e1ltal leford\u00edtott Windows Portable Executable f\u00e1jl seg\u00edts\u00e9g\u00e9vel a routerek megc\u00e9lz\u00e1s\u00e1ra. A kutat\u00f3k azonban csak a JCG-Q20 t\u00edpus\u00fa routereket kihaszn\u00e1l\u00f3 szkripthez tudtak hozz\u00e1f\u00e9rni, ez\u00e9rt lehets\u00e9ges, hogy vannak tov\u00e1bbi, m\u00e9g nem ismertexploit-ok. A rosszindulat\u00fa program sz\u00e1mos webszolg\u00e1ltat\u00e1st lek\u00e9rdez, hogy megszerezze a router nyilv\u00e1nos IP-c\u00edm\u00e9t. Ha ez nem siker\u00fcl, a ZuoRAT t\u00f6rli mag\u00e1t.<\/p>\n
Val\u00f3sz\u00edn\u0171, hogy a t\u00e1mad\u00f3 jav\u00edtatlan sebezhet\u0151s\u00e9geket haszn\u00e1lt fel, hogy hiteles\u00edt\u0151 adatokat lopjon el a megc\u00e9lzott routerekt\u0151l. B\u00e1r l\u00e9teznek patchek ezekhez a s\u00e9r\u00fcl\u00e9kenys\u00e9gekhez, a rendszergazd\u00e1k ezen kish\u00e1l\u00f3zati \u00e9s otthoni eszk\u00f6z\u00f6k\u00f6n \u00e1ltal\u00e1ban nem hajtj\u00e1k v\u00e9gre a friss\u00edt\u00e9seket.<\/p>\n
Noha nem egyedi az a fenyeget\u00e9stechnika, amely a kish\u00e1l\u00f3zati routereket kompromitt\u00e1lja a helyi h\u00e1l\u00f3zathozhoz val\u00f3 hozz\u00e1f\u00e9r\u00e9s \u00e9rdek\u00e9ben, m\u00e9gis ritk\u00e1n sz\u00e1molnak be r\u00f3la. A kutat\u00f3k szerint a DNS- \u00e9s HTTP-elt\u00e9r\u00edt\u00e9shez hasonl\u00f3 k\u00f6zbe\u00e9kel\u0151d\u00e9ses t\u00e1mad\u00e1sokr\u00f3l sz\u00f3l\u00f3 jelent\u00e9sek m\u00e9g ritk\u00e1bbak, valamint \u00f6sszetett \u00e9s c\u00e9lzott m\u0171veletekre utalnak. E k\u00e9t technika egyidej\u0171 alkalmaz\u00e1sa arra utal, hogy ezt a kamp\u00e1nyt val\u00f3sz\u00edn\u0171leg egy \u00e1llamilag t\u00e1mogatott kiberb\u0171n\u00f6z\u0151i csoport hajtotta v\u00e9gre.<\/p>\n
B\u00e1r a rosszindulat\u00fa szerepl\u0151k sokf\u00e9le m\u00f3don c\u00e9lozz\u00e1k meg a h\u00e1l\u00f3zatokat, a router alap\u00fa k\u00e1rt\u00e9kony program ritka jelens\u00e9g, \u00e9s a t\u00e1mad\u00e1s \u00e9ppen ez\u00e9rt \u00e9vek \u00f3ta rejtve maradhatott a c\u00e9lzott h\u00e1l\u00f3zatok perem\u00e9n.<\/p>\n
Ez\u00e9rt kulcsfontoss\u00e1g\u00fa, hogy a felhaszn\u00e1l\u00f3k \u2013 \u00e9s k\u00fcl\u00f6n\u00f6sen a mag\u00e1nszem\u00e9lyek \u00e9s a kisv\u00e1llalkoz\u00e1sok \u2013 v\u00e9dj\u00e9k forgalmukat a bel\u00e9p\u00e9si ponton: a routereken. A legt\u00f6bb otthoni \u00e9s kisv\u00e1llalati h\u00e1l\u00f3zat t\u00fal kicsi ahhoz, hogy a rendszergazd\u00e1k v\u00e9dekez\u0151 int\u00e9zked\u00e9seket, p\u00e9ld\u00e1ul mikroszegment\u00e1ci\u00f3t alkalmazzanak rajtuk.<\/p>\n
A fenyeget\u00e9ssel kapcsolatos kompromitt\u00e1lts\u00e1gi indik\u00e1torok jellemz\u0151en IP-c\u00edmek. \u00c9ppen ez\u00e9rt a DNS-alap\u00fa biztons\u00e1gi megold\u00e1sok nem ny\u00fajtanak megfelel\u0151 v\u00e9delmet, hiszen azok nem blokkolj\u00e1k az IP-c\u00edmeket. A j\u00f3 h\u00edr az, hogy az Allot Secure-t (bele\u00e9rtve a NetworkSecure-t, valamint a router-alap\u00fa HomeSecure-t \u00e9s BusinessSecure-t) haszn\u00e1l\u00f3 \u00fcgyfelek v\u00e9dettek a t\u00e1mad\u00e1s ellen. Az Allot megold\u00e1saival kapcsolatban keresse bizalommal a RelNet munkat\u00e1rsait. A RelNet ugyanis az Allot hivatalos disztrib\u00fatora Magyarorsz\u00e1gon.<\/p>\n
What is ZuoRAT?<\/a><\/p>\nKapcsol\u00f3d\u00f3 tartalom<\/h5>\n