Linksys routereken terjedő férget találtak

A SANS Institute Internet Storm Center kutatói olyan kártevőt fedeztek fel, amely a Linksys által gyártott E-sorozatú routereken terjed. A féreg ártalmatlan abban a tekintetben, hogy nem okoz kárt, de a megfertőzött eszközökről megpróbál továbbterjedni. A biztonsági szakértők "honeypot" módszerrel, vagyis egy kutatást szolgáló csalétekkel ejtették csapdába a férget, amelyet áttanulmányoztak.

"Tudomásunkra jutott egy féreg, amely különféle Linksys routereken terjed. Nincs részletes listánk a sebezhető routerekről, de a következő modellek a firmware függvényébe sebezhetők lehetnek:  E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900" - olvasható a SANS blogjában. A kártevőt a nevét a 2009-es "The moon" című filmről kapta, mivel a kód tartalmazza az abban szereplő fiktív vállalat, a Lunar Industries logóját.

A féreg a 8080-as porthoz csatlakozik, majd SSL használatával meghívja a /HNAP1/ URL-t. A HNAP, azaz Home Network Administration Protocol a Cisco által fejlesztett megoldás az otthoni hálózat eszközök távoli menedzsmentjére. A féreg az URL-ről XML formátumban lekéri az eszköz típusát és a futtatott firmware verzióját, amelyet ha sebezhetőnek talál, akkor egy CGI scriptet futtat, amely egy sebezhetőség miatt lehetővé teszi további parancsok futtatását a hálózati eszközön, azonosítás nélkül. A SANS biztonsági okokból nem hozta nyilvánosságra a CGI scriptet, valójában az interneten kis kereséssel fellelhető az exploit.

A blogbejegyzés alapján a féreg ezt követően egy egyszerű shell scriptet futtat le, amely letölti a payloadot, amely MIPS ELF (Executable and Linkable) bináris formátumú, és a kutatások alapján minden esetben azonos, leszámítva a kód végén található véletlen mintát. Miután ez a kód lefutott, a fertőzött Linksys router további áldozatokat keres, a SANS szerint a kód beégetve tartalmaz közel 670 különféle hálózati IP-tartományt, amelyek kábel- és DSL-szolgáltatók modemjeihez tartoznak. A fertőzött router egy beépített HTTP szerveren keresztül szolgálja ki a payloadot a további megtámadott eszközöknek.

A SANS blogbejegyzése szerint egyelőre nem lehet biztosan tudni, van-e "command and control" csatorna, vagyis a megtámadott eszközök várnak-e távoli parancsra - ezért is nevezik féregnek, mivel a terjedésen kívül mást nem tesz. A kártevőt felfedezni onnan lehet például, hogy a Linksys routert tartalmazó hálózaton szokatlanul erős a kifelé irányuló forgalom a 80-as vagy 8080-as portokon, a bejövő kapcsolatok pedig gyakran 1024-nél alacsonyabb portszámon próbálkoznak.

A Linksys otthoni és kisirodai hálózati eszközök sokáig a Cisco tulajdonában voltak, a hálózati eszközök legnagyobb gyártója nagyjából egy éve, 2013 elején adta el az üzletágat a Belkinnek. Az új tulajdonos tud a problémáról és már dolgozik a javításon. A felhasználók számos módszerrel kivédhetik ezt a támadást. Ha kikapcsolják a routeren a távoli adminisztrációt, azzal védetté teszik az eszközt a "The moon" féreg ellen, ha pedig mégis távolról kell adminisztrálniuk, érdemes korlátozni az IP-címet, illetve az adminisztrációs interfész portját megváltoztatni a szokásos 80-ról vagy 8080-ról valami másra, a féreg ugyanis ezeket a portokat keresi.

Forrás: hwsw.hu