Darlloz atakuje Linuksa

Symantec poinformował o wykryciu nowego złośliwego programu, infekującego urządzenia pracujące pod kontrolą Linuksa (pełnego oraz wersji okrojonych, wykorzystywanych np. jako OS routerów). Program o nazwie Linux.Darlloz korzysta ze znanej od dawna luki w PHP.

Chodzi o błąd opisany jako CVE-2012-1823 (i załatany już w maju 2012 r. w PHP 5.4.3 / 5.3.13) – występuje on w php-cgi, komponencie umożliwiający PHP działanie w konfiguracji Common Gateway Interface (CGI).

Z analiz Symanteca wynika, że autor robaka (do tej kategorii zaliczono Linux.Darlloz) skorzystał z kodu proof-of-concept, opublikowanego w Internecie pod koniec października. Wiadomo, że szkodnik propaguje się w Sieci szukając podatnych na atak maszyn, a następnie próbuje zainstalować się w nich poprzed odpowiednio spreparowane zapytanie HTTP POST. Jeśli na atakowanej maszynie będzie zainstalowana podatna na atak wersja PHP, Linux.Darlloz zostanie automatycznie pobrany i zainstalowany.

Zobacz również:

  • Linux Foundation uruchamia dwie nowe inicjatywy wspierające obliczenia o wysokiej wydajności i systemy pamięci masowej

Robak napisany został z myślą o atakowaniu komputerów x86 z Linuksem – ale Symantec twierdzi, że potrafi on również atakować sprzęt z procesorami ARM, PPC, MIPS oraz MIPSEL. Oznacza to, że na jego liście celów znaleźć się mogą również np. routery, kamery IP, sprzęt multimedialny itp, w których powszechnie wykorzystywane jest oprogramowanie na bazie Linuksa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200