Program se samovolnou replikací infikuje směrovače Linksys využíváním chyby zabezpečení obejití ověřování v různých modelech z produktové řady E-Series dodavatele..
+Také na síti World: Technologické nabídky denních prezidentských dnů +
Vědci z Internet Storm Center (ISC) SANS Institute vydali ve středu varování o incidentech, kdy byly ohroženy routery Linksys E1000 a E1200 a skenovaly další rozsahy adres IP (internetový protokol) na portech 80 a 8080. Ve čtvrtek vědci ISC uvedli, že se podařilo zachytit malware, který je zodpovědný za skenovací aktivitu, v jednom z jejich honeypotů - systémy záměrně nechaly vystaveny útokům.
Útoky se zdají být výsledkem červa - samoreprodukujícího se programu - který ohrožuje směrovače Linksys a poté tyto směrovače používá k vyhledávání dalších zranitelných zařízení..
"V tuto chvíli jsme si vědomi červa, který se šíří mezi různými modely směrovačů Linksys," uvedl Johannes Ullrich, hlavní technologický ředitel společnosti SANS ISC, v samostatném blogovém příspěvku. „Nemáme konkrétní seznam směrovačů, které jsou zranitelné, ale následující směrovače mohou být zranitelné v závislosti na verzi firmwaru: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.“
Červ, který byl označen jako TheMoon, protože obsahuje logo fiktivní společnosti Lunar Industries z filmu 2009 Měsíc, začíná tím, že požaduje zařízení / HNAP1 / URL od zařízení za naskenovanými IP adresami. HNAP - protokol pro správu domácí sítě - byl vyvinut společností Cisco a umožňuje identifikaci, konfiguraci a správu síťových zařízení.
Červ odešle požadavek HNAP, aby identifikoval model routeru a verzi firmwaru. Pokud zjistí, že zařízení je zranitelné, odešle další požadavek do konkrétního skriptu CGI, který umožňuje provádění místních příkazů v zařízení.
SANS nezveřejnil název skriptu CGI, protože obsahuje chybu zabezpečení bypassu. „Žádost nevyžaduje ověření,“ řekl Ullrich. "Červ odešle náhodná pověření administrátora, ale skript je nekontroluje."
Červ zneužívá tuto chybu zabezpečení ke stažení a spuštění binárního souboru ve formátu ELF (spustitelný a propojitelný) kompilovaného pro platformu MIPS. Když je spuštěn na novém routeru, tento binární soubor začne hledat nová zařízení, která infikují. Otevírá také HTTP server na náhodném portu s nízkým číslem a používá jej k doručování jeho kopie nově identifikovaným cílům.
Binární obsahuje pevně zakódovaný seznam více než 670 rozsahů IP adres, které prohledává, řekl Ullrich. "Zdá se, že všechny jsou v různých zemích spojeny s kabelovými nebo DSL modemovými ISP."
Není jasné, jaký je účel malwaru jiný než šíření na další zařízení. V binárním systému jsou některé řetězce, které naznačují existenci serveru příkazů a řízení, což by z hrozby udělalo botnet, který by útočníci mohli ovládat vzdáleně.
Linksys si je vědom zranitelnosti v některých směrovačích řady E a pracuje na opravě, uvedl Mike Duin, mluvčí majitele Linksys Belkin, v pátek v e-mailu..
Ullrich nastínil několik strategií zmírnění v komentářích k jeho blogovému příspěvku. Zaprvé, směrovače, které nejsou nakonfigurovány pro vzdálenou správu, nejsou tomuto útoku přímo vystaveny. Pokud je třeba router spravovat na dálku, omezení přístupu k administrativnímu rozhraní pomocí adresy IP pomůže snížit riziko, řekl Ullrich. Změna portu rozhraní na něco jiného než 80 nebo 8080 také tomuto konkrétnímu útoku zabrání.
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
