Worm 'TheMoon' inficerer Linksys-routere

Et selvreplikerende program inficerer Linksys-routere ved at udnytte en sårbarhed ved autentificering af bypass i forskellige modeller fra leverandørens E-Series produktlinje.

+Også på Network World: Eye-Popping Præsidenteres dag tech-tilbud +

Forskere fra SANS Institut Internet Storm Center (ISC) udsendte onsdag en alarm om hændelser, hvor Linksys E1000 og E1200-routere var blevet kompromitteret og scannede andre IP-adresser (Internet Protocol) -intervaller i havn 80 og 8080. Torsdag rapporterede ISC-forskerne, at de formåede at indfange malware, der er ansvarlig for scanningsaktiviteten i et af deres honningpunkter - systemer med vilje blev udsat for at blive angrebet.

Attackerne ser ud til at være et resultat af en orm - et selvreplicerende program - der kompromitterer Linksys routere og derefter bruger disse routere til at scanne efter andre sårbare enheder.

"På dette tidspunkt er vi opmærksomme på en orm, der spreder sig mellem forskellige modeller af Linksys-routere," sagde Johannes Ullrich, teknologichef i SANS ISC, i et separat blogindlæg. "Vi har ikke en bestemt liste over routere, der er sårbare, men følgende routere kan være sårbare afhængigt af firmwareversion: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900."

Ormen, der er blevet kaldt TheMoon, fordi den indeholder logoet til Lunar Industries, et fiktivt firma fra 2009-filmen "Månen", begynder med at anmode om en / HNAP1 / URL fra enheder bag de scannede IP-adresser. HNAP - Home Network Administration Protocol - blev udviklet af Cisco og tillader identifikation, konfiguration og styring af netværksenheder.

Ormen sender HNAP-anmodningen for at identificere routerens model og firmwareversion. Hvis den bestemmer, at en enhed er sårbar, sender den en anden anmodning til et bestemt CGI-script, der tillader udførelse af lokale kommandoer på enheden.

SANS har ikke afsløret navnet på CGI-scriptet, fordi det indeholder en sårbarhed med autentificering af bypass. "Anmodningen kræver ikke godkendelse," sagde Ullrich. "Ormen sender tilfældige 'admin' -oplysninger, men de kontrolleres ikke af scriptet."

Ormen udnytter denne sårbarhed til at downloade og udføre en binær fil i ELF (eksekverbart og linkbart) format, der er udarbejdet til MIPS-platformen. Når den udføres på en ny router, begynder denne binære at scanne efter nye enheder til at inficere. Det åbner også en HTTP-server på en tilfældig lavnummerport og bruger den til at servere en kopi af sig selv til de nyligt identificerede mål.

Den binære indeholder en hardkodet liste over over 670 IP-adresseintervaller, den scanner, sagde Ullrich. "Alle ser ud til at være knyttet til kabel- eller DSL-modem-internetudbydere i forskellige lande."

Det er ikke klart, hvad formålet med malware er andet end at sprede sig til yderligere enheder. Der er nogle strenge i det binære, der antyder eksistensen af ​​en kommando-og-kontrol-server, som ville gøre truslen til et botnet, som angribere kunne styre fjernt.

Linksys er opmærksom på sårbarheden i nogle E-serien routere og arbejder på en løsning, sagde Mike Duin, en talsmand for Linksys ejer Belkin, i en e-mail fredag.

Ullrich skitserede flere afbødningsstrategier i kommentarer til sit blogindlæg. Først og fremmest udsættes routere, der ikke er konfigureret til fjernadministration, ikke direkte for dette angreb. Hvis en router skal administreres eksternt, vil begrænsning af adgang til den administrative grænseflade med IP-adresse hjælpe med at reducere risikoen, sagde Ullrich. Ændring af havnen på grænsefladen til noget andet end 80 eller 8080 vil også forhindre netop dette angreb, sagde han.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.