top
logo


Выявлен червь, поражающий неисправленную уязвимость в маршрутизаторах Linksys PDF Печать E-mail
Автор: adm   
17.02.14 19:32

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость, червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.

Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства.

Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.

Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.

Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):


    echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

  1. Главная ссылка к новости (https://isc.sans.edu/diary/Linksys+Worm+...)
  2. OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
  3. OpenNews: Критические уязвимости в Cisco Linksys и MySQL
Тип: Проблемы безопасности
Ключевые слова: linksys, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.2, Dimez, 00:19, 18/02/2014 [ответить] [смотреть все] +/
Cisco, toWORMow starts here!
 
  2.3, Аноним, 00:27, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку] +/
 
  3.4, A.Stahl, 00:33, 18/02/2014 [^] [ответить] [смотреть все]  +32 +/
В больших цисках дыр нет.
Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
 
  4.6, anonymous, 00:56, 18/02/2014 [^] [ответить] [смотреть все]  +3 +/
А я то думаю, кто же мне конфиг по ночам подправляет. А это американброзерс оказывается =)
 
4.44, Аноним, 05:12, 19/02/2014 [^] [ответить] [смотреть все]  
+/
то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз... весь текст скрыт [показать]
 
2.39, Аноноим, 19:33, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ CISCO уже не при делах. Вините белкиных.
 
  3.42, Dimez, 21:54, 18/02/2014 [^] [ответить] [смотреть все]  +/
Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
 
1.5, klalafuda, 00:39, 18/02/2014 [ответить] [смотреть все]  +/ > The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
> Next, the worm will send an exploit to a vulnerable CGI script running on these routers.

Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?

 
  2.13, Lain_13, 04:59, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  –2 +/
Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
 
2.25, cmp, 11:16, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
 2.30, Михаил, 12:54, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +3 +/ Нет, но если получили девайс от провайдера - там все может быть.
 
1.7, Xasd, 01:15, 18/02/2014 [ответить] [смотреть все]  +2 +/ приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
 
    3.18, an, 08:50, 18/02/2014 [^] [ответить] [смотреть все]  +5 +/
это гарантирует отсутствие веб-интерфейса :)
 
3.19, Аноним, 08:51, 18/02/2014 [^] [ответить] [смотреть все]  +/
Безопастность никто не сможет гарантировать, но в данном случае, когда человек с... весь текст скрыт [показать]
 
  4.24, Deq, 10:55, 18/02/2014 [^] [ответить] [смотреть все]  +1 +/
ну ну, знавали мы таких
 
2.33, Аноним, 15:28, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ 
  3.38, Xasd, 17:39, 18/02/2014 [^] [ответить] [смотреть все]  +2 +/
>> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
>> ванильном GNU/Linux-дистрибутиве :)
> О каком роутере речь? И прошивка реально вами с 0 собранное окружение?

какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все дела :)

 
  4.41, Аноним, 20:32, 18/02/2014 [^] [ответить] [смотреть все]  –1 +/
На какое устройство вы его установили Что используете в качестве роутера ... весь текст скрыт [показать]
 
2.34, Аноним, 15:45, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ 
  3.40, Xasd, 19:52, 18/02/2014 [^] [ответить] [смотреть все]  +/
и дорого
 
  4.46, Аноним, 06:49, 19/02/2014 [^] [ответить] [смотреть все]  +/
Ну это уже как повезет и смотря что включать в цену К тому же если вы будете по... весь текст скрыт [показать]
 
2.36, SunXE, 16:40, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ > приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)

Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

 
  3.47, Аноним, 06:50, 19/02/2014 [^] [ответить] [смотреть все]  +/
А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются С опен... весь текст скрыт [показать]
 
1.9, Аноним, 01:34, 18/02/2014 [ответить] [смотреть все]  +/
И при чём тут open source ... весь текст скрыт [показать]
 
  2.10, IMHO, 01:52, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
новость для того, что бы бежать в opensource
"истории успеха" не только в опенсорс есть
 
1.12, Аноним, 02:37, 18/02/2014 [ответить] [смотреть все]  +3 +/
WRT320N снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь ... весь текст скрыт [показать]
  1.15, Аноним, 06:09, 18/02/2014 [ответить] [смотреть все]  +/
Не троллинга рад Свой IP-шник под ddwrt на dlink сканирую, открыт порт 172... весь текст скрыт [показать]
 
  2.17, VolanD, 07:37, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/
> Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
> 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!

Исходники же открыты, в опенкоде бекдоров быть не может! Ибо каждый адепт с утра до вечера их читает!!

 
2.21, Добрый доктор, 10:10, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ 1720/tcp filtered H.323/Q.931
 2.22, mickvav, 10:17, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
 
1.20, Аноним, 09:32, 18/02/2014 [ответить] [смотреть все]  +2 +/
Т е чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета Б... весь текст скрыт [показать]
  1.23, Ринальдус, 10:23, 18/02/2014 [ответить] [смотреть все]  +1 +/ >> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

image   1.26, siyanieoverip, 11:23, 18/02/2014 [ответить] [смотреть все]  +/ А без отключения RMA защититься от атаки никак нельзя?
  1.28, Wulf, 11:44, 18/02/2014 [ответить] [смотреть все]  +/ > Нет конечно. Скорее всего он просто выключен.

Ответ неверен. Если он выключен, то 100% надежно защищен

 
    3.35, Аноним, 15:49, 18/02/2014 [^] [ответить] [смотреть все]  +/
Роутеры легкие, чтобы их так уронить - надо еще постараться ... весь текст скрыт [показать]
 
2.49, Аноним, 13:42, 19/02/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не п... весь текст скрыт [показать] [показать ветку]
 
1.48, Дум Дум, 09:15, 19/02/2014 [ответить] [смотреть все]  +/ "Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39111

 
Интересная статья? Поделись ей с другими:

Детские песни

    изображение - детские песни онлайн слушать и скачать минусовки

Детские песенки
онлайн скачать минус

Как собрать кубик?

изображение - как собрать кубик Рбика
Как собрать
кубик Рубика?


bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика