Ostrzeżenie dla użytkowników routerów Linksys – uważajcie na robaka Moon

Informatycy z SANS Institute (oddział Internet Storm Center) opublikowali ostrzeżenie dotyczące routerów Linksys linii EXX00, twierdząc iż wykryli nowe zagrożenie, które pozwala cyberprzestępcom przejmować kontrolę nad tymi urządzeniami. Chodzi o szkodliwe oprogramowanie (malware) rozpowszechniające robaka noszącego nazwę Moon.

Wstępne badanie wykazało, że jest samoreplikujący się robak, który zagnieżdża się w pamięci routera (sprawdzając wcześniej, iż jest to możliwe dzięki wykryciu określonej dziury), a następnie wykorzystuje go do skanowania sieci w poszukiwaniu następnej ofiary (sprawdzając na urządzeniach porty 80 oraz 8080). Informatycy nie opracowali jeszcze listy zawierającej wszystkie modele routerów, które są podatne na takie ataki, ale są już pewni, że znajdą się na niej takie urządzenia, jak: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 i E900.

Robak Moon (nazwany tak z racji tego, że zawiera logo fikcyjnej firmy Lunar Industries) zaczyna swoją pracę od tego, że wysyła do skanowanych urządzeń żądanie /HNAP1/ (HNAP - Home Network Administration Protocol – to protokół opracowany przez Cisco, używany do identyfikowania i konfigurowanie sieciowych urządzeń).

Zobacz również:

Z chwilą gdy robak uzna, że urządzenie jest podatne na atak, wysyła do rezydującego w jego pamięci skryptu CGI kolejne żądanie, umożliwiające wykonywanie lokalnych poleceń. SANS nie podaje, jaki to jest skrypt, ponieważ to właśnie w nim znajduje się dziura umożliwiająca przeprowadzenie takiego ataku. Wykorzystując tę dziurę robak instaluje na routerze i uruchamia binarny plik ELF, który poszukuje w sieci nowej, podatnej na taki atak ofiary. I tak na zasadzie domina kolejny router może zostać w ten sposób zaatakowany.

Informatycy odkryli w binarnym pliku ELF fragmenty kodu wydające się sugerować, że robak komunikuje się ze zdalnym serwerem „command-and-control”. Potrzebne są jednak dalsze badania, aby wyjaśnić tę kwestię na sto procent. Zagrożenie takie wydaje się jednak być realne.

Aby uniknąć zagrożenia, najlepiej jest wyłączyć na routerze w ogóle opcję umożliwiającą zdalne zarządzanie. Jeśli jest to jednak konieczne, należy zmienić numery portów interfejsu na inne niż 80 i 8080, co może nas uchronić przed takim atakiem.

Krajobraz nowych zagrożeń będzie jednym z tematów konferencji SEMAFOR 2014, która odbędzie się w dniach 27-28 marca 2014r.

Ostrzeżenie dla użytkowników routerów Linksys – uważajcie na robaka Moon


TOP 200