Informasjon om Silex-kampanje
I løpet av det siste døgnet har det blitt skrevet mye om en ny skadevare, kalt Silex [1][2], som sletter alt av fastvare på IoT-enheter. Skadevaren kan minne om en gammel versjon av BrickerBot som ødelagte millioner av enheter i 2017. Tallet på infiserte enheter var tidligere oppe i 2000 enheter og det antas at antallet vil fortsette å stige.
For å få tilgang til systemet benytter Silex standard påloggingsdetaljer for IoT-enheter. Deretter overskriver Silex IoT-enhetens lagring ved å skrive tilfeldig data til tilkoblede lagringsenheter og partisjoner. I tillegg fjernes eksisterende brannmurregler og det opprettes nye DROP-regler på all trafikk. For å få liv i IoT-enheten igjen, må en manuelt reinstallere enhetens fastvare.
Det er viktig å merke seg at Silex gjennom sine kapabiliteter også har muligheten til å ødelegge Linux-servere dersom serveren har åpne Telnet-porter med svakt passord. Det skal også være planlagt å legge til støtte for pålogging via SSH.
Vi ønsker først og fremst å sende ut dette varselet som et OBS-varsel, men også for å be alle systemadministratorer om å undersøke virksomhetens Internetteksponerte Linux-servere for åpne Telnet-porter. Det anbefales at disse ikke er åpne med mindre det er særskilte behov for bruk av disse, og at det i så tilfelle benyttes sterke passord og/eller andre sikringsmekanismer.
Vi i NSM NorCERT anbefaler også at IoT-enheter plasseres i egne segregerte nettverk og at tilgang til/fra Internett og interne tjenester kontrolleres strengt.
Vi er per nå ikke kjent med vellykkede angrep fra Silex mot enheter i Norge.
Referanser: