| |
Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость, червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.
Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства.
Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.
Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.
Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):
echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.
|
|
- Главная ссылка к новости (https://isc.sans.edu/diary/Linksys+Worm+...)
- OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
- OpenNews: Критические уязвимости в Cisco Linksys и MySQL
| Тип: Проблемы безопасности | Ключевые слова: linksys, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
| +/– | то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз... весь текст скрыт [ показать] | | | 2.39, Аноноим, 19:33, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
CISCO уже не при делах. Вините белкиных.
1.5, klalafuda, 00:39, 18/02/2014 [ответить] [смотреть все] +/–
> The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
> Next, the worm will send an exploit to a vulnerable CGI script running on these routers.
Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?
2.25, cmp, 11:16, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
2.30, Михаил, 12:54, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +3 +/–
Нет, но если получили девайс от провайдера - там все может быть.
1.7, Xasd, 01:15, 18/02/2014 [ответить] [смотреть все] +2 +/–
приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
3.19, Аноним, 08:51, 18/02/2014 [ ^] [ ответить] [ смотреть все] +/–Безопастность никто не сможет гарантировать, но в данном случае, когда человек с... весь текст скрыт [ показать] 2.33, Аноним, 15:28, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/– |
3.38, Xasd, 17:39, 18/02/2014 [^] [ответить] [смотреть все] | +2 +/– |
>> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
>> ванильном GNU/Linux-дистрибутиве :)
> О каком роутере речь? И прошивка реально вами с 0 собранное окружение?
какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все дела :)
| | | 2.34, Аноним, 15:45, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/– 2.36, SunXE, 16:40, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)
1.9, Аноним, 01:34, 18/02/2014 [ответить] [смотреть все] +/–И при чём тут open source ... весь текст скрыт [ показать]
1.12, Аноним, 02:37, 18/02/2014 [ответить] [смотреть все] +3 +/–WRT320N снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь ... весь текст скрыт [ показать]
1.15, Аноним, 06:09, 18/02/2014 [ответить] [смотреть все] +/–Не троллинга рад Свой IP-шник под ddwrt на dlink сканирую, открыт порт 172... весь текст скрыт [ показать]
|
2.17, VolanD, 07:37, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку] | –1 +/– |
> Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
> 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!
Исходники же открыты, в опенкоде бекдоров быть не может! Ибо каждый адепт с утра до вечера их читает!!
| | | 2.21, Добрый доктор, 10:10, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
1720/tcp filtered H.323/Q.931
2.22, mickvav, 10:17, 18/02/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
1.20, Аноним, 09:32, 18/02/2014 [ответить] [смотреть все] +2 +/–Т е чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета Б... весь текст скрыт [ показать]
1.23, Ринальдус, 10:23, 18/02/2014 [ответить] [смотреть все] +1 +/–
>> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?
1.26, siyanieoverip, 11:23, 18/02/2014 [ответить] [смотреть все] +/–
А без отключения RMA защититься от атаки никак нельзя?
1.28, Wulf, 11:44, 18/02/2014 [ответить] [смотреть все] +/–
> Нет конечно. Скорее всего он просто выключен.
Ответ неверен. Если он выключен, то 100% надежно защищен
1.48, Дум Дум, 09:15, 19/02/2014 [ответить] [смотреть все] +/–
"Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
Ваш комментарий
Read more |