Videó: Among Us but WE MADE A NEW ROLE (November 2024)
Egy önreplikáló féreg kihasználja a hitelesítési bypass sebezhetőséget a Linksys otthoni és kisvállalati útválasztóin. Ha van valamelyik E sorozatú útválasztója, akkor veszélybe kerül.
A kódban a holdreferenciák miatt "The Moon" -nak neveztetett féreg jelenleg nem túl sokat keres más veszélyeztetett útválasztók keresésén és másolatainak készítésén - írta a kutatók a SANS Intézet internetes viharközpontjának blogjában a múlt héten. Jelenleg nem világos, mi az a hasznos teher, vagy hogy parancsokat kap-e a parancs-vezérlő kiszolgálótól.
"Ezen a ponton tisztában vagyunk egy féreggel, amely a Linksys útválasztók különféle modelljeiben terjed" - írta Johannes Ullrich, a SANS technológiai vezérigazgatója egy blogbejegyzésben. "Nincs meghatározott listája az érzékeny útválasztókról, de a következő útválasztók veszélyeztethetik a firmware verziótól függően: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Jelentések szerint az E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N és WRT150N útválasztók szintén sebezhetők.
"A Linksys tisztában van a The Moon nevű rosszindulatú programmal, amely hatással volt a kiválasztott régebbi Linksys E-sorozatú útválasztókra, valamint a régebbi Wireless-N hozzáférési pontokra és útválasztókra." - írta Belkin, a társaság, amely a Linksys márkát a Ciscoltól szerezte meg a tavalyi évben. post. A firmware javítását tervezik, de konkrét ütemterv jelenleg nem áll rendelkezésre.
A hold támad
A veszélyeztetett útválasztón lévő Moon féreg csatlakozik a 8080-as porthoz, és a Home Network Administration Protocol (HNAP) segítségével azonosítja a veszélyeztetett útválasztó gyártmányát és firmware-jét. Ezután egy CGI szkriptet használ az útválasztó eléréséhez hitelesítés nélkül, és más sérülékeny mezőket keres. A SANS becslése szerint több mint 1000 Linksys útválasztó már fertőzött.
A CGI szkript sebezhetőségét célzó koncepciókérést már közzétették.
"Körülbelül 670 különböző IP tartomány van, amelyet más útválasztók számára keres. Úgy tűnik, hogy mindegyik különféle kábelmodemekhez és DSL ISP-khez tartozik. Ezek világszerte eloszlanak" - mondta Ullrich.
Ha észleli a kimenő beolvasást a 80-as és a 8080-as porton, és a bejövő kapcsolatokat az 1024-nél alacsonyabb egyéb portokon, akkor már fertőzött lehet. Ha ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: teszt \ r \ n \ r \ n" 'nc routerip 8080 és kap egy XML HNAP kimenetet, akkor valószínűleg érzékeny útválasztója van - mondta Ullrich.
Védekezés a Hold ellen
Ha van valamelyik kiszolgáltatott útválasztója, akkor néhány lépést megtehetsz. Mindenekelőtt az útválasztók, amelyek nincsenek konfigurálva a távoli adminisztrációhoz, nem kerülnek expozícióra - mondta Ullrich. Tehát ha nincs szüksége távoli adminisztrációra, kapcsolja ki a Remote Management Access szolgáltatást az adminisztrátor felületről.
Ha mégis távoli adminisztrációra van szüksége, korlátozza az adminisztrációs felülethez való hozzáférést IP-cím alapján, hogy a féreg ne férjen hozzá az útválasztóhoz. Az Anonim internetkérések szűrése az adminisztráció-biztonság lapon is engedélyezhető. Mivel a féreg a 80-as és a 8080-as porton keresztül terjed, az adminisztrátor interfész portjának megváltoztatása szintén megnehezíti a féreg számára az útválasztó megtalálását - mondta Ullrich.
Az otthoni útválasztók népszerű támadási célpontok, mivel általában idősebb modellek, és a felhasználók általában nem maradnak a firmware frissítésein. Például a számítógépes bűnözők a közelmúltban betörtek az otthoni útválasztókba, és megváltoztak a DNS-beállítások az online banki oldalakra küldött információk elfogására - a lengyel számítógépes vészhelyzeti reagáló csoport (CERT Polska) által a hónap elején tett figyelmeztetés szerint.
Belkin azt is javasolja, hogy frissítsék a legújabb firmware-re, hogy csatlakoztassanak minden más, még nem telepített problémát.
