Video: Tokyo Ghoul - Kaneki vs Amon (September 2024)
En självreplikerande mask utnyttjar en sårbarhet för byte av autentisering i Linksys hem- och småföretag routrar. Om du har en av E-seriens routrar är du i riskzonen.
Ormen, kallad "Månen" på grund av månreferenser i sin kod, gör inte mycket för tillfället utöver att söka efter andra sårbara routrar och göra kopior av sig själv, skrev forskare på SANS-institutets Internet Storm Center-blogg förra veckan. Det är oklart för närvarande vad nyttolasten är eller om den tar emot kommandon från en kommando-och-kontrollserver.
"Just nu är vi medvetna om en mask som sprider sig bland olika modeller av Linksys-routrar, " skrev Johannes Ullrich, teknikchef vid SANS, i ett blogginlägg. "Vi har inte en bestämd lista över routrar som är sårbara, men följande routrar kan vara sårbara beroende på firmwareversion: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Det finns rapporter om att routrarna E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N och WRT150N också är sårbara.
"Linksys är medveten om skadlig programvara som heter The Moon som har påverkat utvalda äldre Linksys E-series Routers och valt äldre Wireless-N-åtkomstpunkter och routrar, " skrev Belkin, företaget som förvärvade Linksys-varumärket från Cisco förra året, i en blogg posta. En fastvarufix är planerad, men ingen specifik tidsplan finns för närvarande.
Månen attackerar
En gång på en sårbar router ansluter Moon-wormen till port 8080 och använder HNAP (Home Network Administration Protocol) för att identifiera märket och firmware för den komprometterade routern. Den utnyttjar sedan ett CGI-skript för att komma åt routern utan verifiering och skanna efter andra sårbara rutor. SANS uppskattar över 1 000 Linksys-routrar har redan infekterats.
Ett bevis-på-koncept som riktar sig till sårbarheten i CGI-skriptet har redan publicerats.
"Det finns cirka 670 olika IP-områden som den söker efter andra routrar. De verkar tillhöra alla olika kabelmodem och DSL-internetleverantörer. De distribueras något över hela världen, " sa Ullrich.
Om du märker kraftig utgående skanning i port 80 och 8080 och inkommande anslutningar på diverse portar lägre än 1024, kan du redan vara infekterad. Om du pingar eko "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 och får en XML HNAP-utgång, har du förmodligen en sårbar router, sa Ullrich.
Försvar mot månen
Om du har en av de sårbara routrarna, finns det några steg du kan vidta. Först och främst exponeras inte routrar som inte är konfigurerade för fjärradministration, sa Ullrich. Så om du inte behöver fjärradministration, stäng av Remote Management Access från administratörsgränssnittet.
Om du behöver fjärradministration begränsar du åtkomst till det administrativa gränssnittet med IP-adress så att masken inte kan komma åt routern. Du kan också aktivera Filtrera anonyma Internetförfrågningar under fliken Administration-säkerhet. Eftersom masken sprider sig via port 80 och 8080 kommer att ändra porten för administratörsgränssnittet också att göra det svårare för masken att hitta routern, sa Ullrich.
Hem routrar är populära attackmål, eftersom de vanligtvis är äldre modeller och användare brukar inte hålla sig uppdaterade med firmware. Till exempel har cyberbrottslingar nyligen hackat sig i hemmarrutrar och ändrat DNS-inställningar för att fånga upp information som skickats till nätbanker, enligt en varning tidigare den här månaden från det polska datorns beredskapsteam (CERT Polska).
Belkin föreslår också att du uppdaterar till den senaste firmware för att ansluta andra problem som kan vara oöverträffade.
