 |
Специалисти предупреждават за червей, който атакува устройства на Linksys |
 |
|
Световните IT-медии съобщават за новооткрита атака към рутери на Linksys и по-специално моделите E-Series.Изследователите от SANS Institute's Internet Storm Center (ISC) публикуваха на сайта си в началото на седмицата разкритието, което са направили, че рутери от серията на компанията Linksys E1000 и E1200 могат да бъдат компрометирани, така че да сканират други IP-та посредством портове 80 и 8080, предава Йоханес Улрих от страниците на SANS. Преди два дни специалистите са успели да изолират саморепликиращ се червей, който е отговорен за атаките. Те са успели да направят това чрез собствените си honeypot системи. Червеят компрометира устройството, а след това започва и сканирането за други уязвими машини."До този момент ние сме установили, че сред потребители на различни модели на Linksys се разпространява червей, като нямаме все още пълен списък на устройствата, които са уязвими на атаката, но следните рутери може да са засегнати от нея, в зависимост от версията на инсталирания на тях фърмуер: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900", пише Улрих, главен технологически отговорник към SANS ISC в отделна публикация на сайта на организацията.Червеят, който е кръстен TheMoon, заради включването в него на логото на Lunar Industries, измислена компания от филма от 2009г. "Луна", започва атаката си с извличане на /HNAP1/ URL данни от устройствата на сканираните адреси. HNAP или Home Network Administration Protocol е стандарт разработен от Cisco, който позволява идентифицирането, управлението и конфигурирането на мрежови устройства. Изпращайки HNAP заявка, червеят успява да идентифицира моделът на устройството и версията на инсталирания му фърмуер. Ако установи, че устройството е уязвимо на атака, той изпраща друга заявка към специално изготвен CGI скрипт, което позволява изпълняването на команди на местно ниво към устройството. Организацията не дава подробности за името на CGI скрипта, тъй като той съдържа указания за уязвимостта, която преодолява оторизационния процес. "Заявката не изисква оторизация. Червеят изпраща случайни администраторски данни, но те не биват проверявани от скрипта", обяснява Улрих. След това, червеят използва уязвимостта, за да свали и изпълни файл в ELF (Executable and Linkable) формат, който е компилиран за MIPS платформа. Веднъж изпълнен, зловредът започва да сканира за нови устройства, които да компрометира, като веднъж открил ново устройство, той отваря HTTP сървър на порт с ниско число и го използва, за да достави копие на себе си към новооткритото устройство. Засега специалистите си нямат идея какви са му другите функционалности освен да се саморазпространява. В самия изпълним файл те са открили стрингове код, които насочват към това, че има контролен сървър свързан с устройството, което би превърнало инфектираните от него системи в ботнет армия. Майк Дюин, говорител на Belkyn, собственикът на Linksys споделя, че компанията е наясно с проблема и вече работят по решение за оправянето му. Отделно от това Улрих споделя и възможността за избягването на риска свързан с червея. Така например това, че рутери, които не са конфигурирани за получаване на връзка за отдалечено администриране не са уязвими пряко на атаката. Ако все пак възможността за отдалечено администриране е включена, то ограничаването на достъпа до администраторския интерфейс по IP адрес ще помогне за намаляването на възможността от успешно провеждане на атака, а освен това решение ще е и смяната на порта на интерфейса на нещо различно от 80 или 8080. |
|
 |
|
Статистика |
|
|
| Прегледи | 195 |
| Коментари | 0 |
| Рейтинг | |
| Добавена на | 16 Фев 2014 |
| Източник | Kaldata |
|
|
|
 |
|
|
|
|
|
