Un program capabil de auto-replicare infectează routere Linksys exploatând o vulnerabilitate in procesul de autentificare
Un program capabil de auto-replicare este reușește să
infecteze routere Linksys exploatând
o vulnerabilitate în bypass-ul de autentificare în diferite modele din linia de
produse E - Series a vânzătorului.
Cercetătorii de la Internet
Storm Center, care aparține de SANS
Institute, a emis miercuri o alertă cu privire la câteva incidente în
care routerele Linksys E1000 și E1200 au fost compromise, făcându-le să scaneze alte șiruri de domenii
IP (Internet Protocol) pe porturile 80 si 8080. Joi cercetătorii ISC au raportat că au reușit să capteze
un software malware responsabil pentru activitatea de scanare într-unul din sistemele
lăsate intenționat expuse pentru a fi atacate, denumite honeypots. Atacurile par a fi realizate cu ajutorului unui malware
de tip worm – un program capabil de
auto-replicare – care compromite routere Linksys
și apoi le utilizează pentru a scana alte dispozitive vulnerabile.
„În acest moment suntem conștienți de un malware de tip worm care se răspândește între diferite
modele de routere Linksys”, a
declarat Johannes Ullrich, CTO (chief
technology officer) la SANS ISC,
într-un articol de blog. „Nu avem o listă definită de routere vulnerabile, dar suntem
aproape siguri de următoarele modele, deși depinde de versiunea de firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.”
Software-ul malware, care a fost numit TheMoon, deoarece conține logo-ul companiei fictive Lunar Industries, care apare în filmul din
2009 „Luna”, începe prin a solicita un URL tip /HNAP1/ din dispozitive din spatele adreselor IP scanate. HNAP (Home Network Administration Protocol) a fost dezvoltat de către Cisco și permite identificarea,
configurarea și managementul dispozitivelor de rețea. Virusul trimite cererea HNAP, în scopul de a identifica modelul
și versiunea firmware-ului router-ului. În cazul în care descoperă un
dispozitiv vulnerabil, se trimite o altă cerere către un anumit script CGI care permite executarea de comenzi
locale pe dispozitiv.
SANS nu a
dezvăluit numele scriptului CGI, deoarece
conține o vulnerabilitate în operațiunea de bypass a procesului de
autentificare. „Cererea nu are nevoie de autentificare”, a declarat Ullrich. „Virusul
trimite datele de acreditare administrative la întâmplare, însă ele nu sunt
verificate de către script.” Virusul exploatează aceasta vulnerabilitate pentru
a descărca și executa un fișier binar în format ELF (Executable and Linkable) compilate pentru platforma MIPS. Atunci
când este executat pe un nou router, acest fișier începe scanarea de noi
dispozitive pentru a le infecta. De asemenea, deschide un server HTTP pe un
port aleatoriu și îl folosește pentru a trimite o replică a sa către
obiectivele nou identificate. Fișierul binar conține o listă de peste 670 de
șiruri de adrese IP pe care le scanează, a scris Ullrich. „Toate par să fie
legate de furnizorii de servicii Internet prin cablu sau modem DSL din diferite
țări”.
Nu este clar care este scopul acestui malware, altul decât acela
de autoreplicare și răspândire spre noi dispozitive. Există unele șiruri de
caractere în fișierul binar care sugerează existența unui server de comandă și control,
ceea ce sugerează că ar fi vorba despre amenințarea unei rețele botnet pe care atacatorii ar putea-o
controla de la distanță. Linksys
este conștient de vulnerabilitatea din modelele E ale routere-lor și lucrează
la rezolvarea problemei, a declarat Mike Duin, purtător de cuvânt al companiei Belkin, care deține acum Linksys.
Ullrich a menționat mai multe strategii de rezolvare a problemei
în comentariile la postul său blog. Mai întâi, routere-le care nu sunt
configurate pentru a fi administrate de la distanță, se pare că nu sunt expuse
direct la acest atac. În cazul în care un router trebuie să fie administrat de
la distanță, restricționarea accesului la interfața administrativă prin filtrarea
adresei IP ar ajuta la reducerea riscului, a declarat Ullrich. Schimbarea portul
de interfața de acces de la distanță, în oricare altul decât 80 sau 8080, va
împiedica, de asemenea, acest atac, a spus el.
No comments:
Post a Comment