Video: TP Link Vulnerability --The Moon Worm-- (Remote Code Execution) using Routersploit Framework (Listopad 2024)
Samoreplikující se červ zneužívá zranitelnost bypassu ověřování v domovských a malých směrovačích společnosti Linksys. Pokud máte jeden ze směrovačů řady E, jste v ohrožení.
Červ, nazvaný „Měsíc“ kvůli lunárním odkazům ve svém kódu, se v současné době nedělá moc, aniž by prohledával další zranitelné směrovače a vytvářel kopie sám. Vědci psali minulý týden na blogu Internet Storm Center SANS Institute. V tuto chvíli není jasné, co je užitečné zatížení nebo zda přijímá příkazy ze serveru příkazů a řízení.
„V tuto chvíli jsme si vědomi červa, který se šíří mezi různými modely směrovačů Linksys, “ napsal v blogu Johannes Ullrich, hlavní technologický ředitel společnosti SANS. „Nemáme konkrétní seznam směrovačů, které jsou zranitelné, ale následující směrovače mohou být zranitelné v závislosti na verzi firmwaru: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.“ Existují zprávy, že směrovače E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N a WRT150N jsou také zranitelné.
„Linksys si je vědom škodlivého softwaru nazvaného Měsíc, který ovlivnil výběr starších směrovačů řady Linksys E a výběr starších přístupových bodů a směrovačů Wireless-N, “ napsal v blogu společnost Belkin, společnost, která loni získala značku Linksys od společnosti Cisco. pošta. Oprava firmwaru je plánována, ale v tuto chvíli není k dispozici žádný konkrétní rozvrh.
Měsíční útoky
Jakmile je červ na zranitelném routeru, připojí se k portu 8080 a pomocí protokolu HNAP (Home Network Administration Protocol) identifikuje značku a firmware napadeného routeru. Poté využije skript CGI pro přístup k routeru bez ověření a prohledání dalších zranitelných polí. Odhady SANS již byly infikovány přes 1 000 směrovačů Linksys.
Již byl publikován důkaz konceptu zaměřený na zranitelnost ve skriptu CGI.
"Existuje asi 670 různých rozsahů IP, které vyhledává jiné směrovače. Zdá se, že všechny patří k různým kabelovým modemům a DSL ISP. Jsou distribuovány poněkud po celém světě, " řekl Ullrich.
Pokud zaznamenáte silné odchozí skenování v portech 80 a 8080 a příchozí připojení na různých portech nižších než 1024, můžete být již infikováni. Pokud ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 a dostanete výstup XML HNAP, pravděpodobně máte zranitelný router, řekl Ullrich.
Obrana proti Měsíci
Pokud máte jeden z ohrožených směrovačů, můžete podniknout několik kroků. Zaprvé, routery, které nejsou nakonfigurovány pro vzdálenou správu, nejsou vystaveny, řekl Ullrich. Pokud tedy nepotřebujete vzdálenou správu, vypněte vzdálený přístup pro správu z rozhraní správce.
Pokud potřebujete vzdálenou správu, omezte přístup do administrativního rozhraní pomocí adresy IP, aby červ nemohl získat přístup ke směrovači. Filtrovat anonymní internetové požadavky můžete také povolit na kartě Správa-Zabezpečení. Vzhledem k tomu, že se červ šíří přes port 80 a 8080, změna portu pro rozhraní administrátora také zkomplikuje červ pro nalezení routeru, uvedl Ullrich.
Domácí směrovače jsou oblíbenými cíli útoku, protože jsou to obvykle starší modely a uživatelé obvykle nezůstávají na vrcholu aktualizací firmwaru. Například, kybernetičtí zločinci nedávno pronikli do domácích směrovačů a změnili nastavení DNS tak, aby zachycovali informace zasílané na weby online bankovnictví, podle varování z tohoto měsíce od polského týmu pro reakci na mimořádné situace v počítačích (CERT Polska).
Společnost Belkin také navrhuje aktualizaci na nejnovější firmware, aby se připojily všechny další problémy, které by mohly být odstraněny.
