Vídeo: LA LLUNA LA PRUNA | Cançons Infantils en Català (Setembre 2024)
Un cuc autoreplicant està explotant una vulnerabilitat de bypass d'autenticació en els routers de casa i en petites empreses de Linksys. Si teniu un dels encaminadors de la sèrie E, us poseu en risc.
El cuc, batejat amb el nom de "La Lluna" a causa de les referències lunars del seu codi, no està fent de moment molt més enllà de buscar altres enrutadors vulnerables i fer còpies, segons van escriure els investigadors al blog Internet Storm Center del SANS Institute de la setmana passada. En aquest moment no està clar quina és la càrrega útil o si rep ordres d’un servidor d’ordres i control.
"En aquest moment, som conscients d'un cuc que s'està estenent entre diversos models d'encaminadors de Linksys", va escriure Johannes Ullrich, el responsable tecnològic de SANS, en una publicació al bloc. "No tenim una llista definitiva d'encaminadors que siguin vulnerables, però els enrutadors següents poden ser vulnerables en funció de la versió del firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Hi ha informes que els encaminadors E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N i WRT150N també són vulnerables.
"Linksys és conscient del programari maliciós anomenat La Lluna que ha afectat a seleccionar els routers més antics de la sèrie E de Linksys i seleccionar els punts d'accés i routers sense fils més antics", va escriure Belkin, la companyia que va adquirir la marca Linksys de Cisco l'any passat. publicar Hi ha prevista una correcció de firmware, però no hi ha cap horari específic en aquest moment.
La Lluna Ataca
Un cop en un router vulnerable, el cuc de la Lluna es connecta al port 8080 i fa servir el protocol d’administració de xarxa d’home (HNAP) per identificar la marca i el firmware del router compromès. A continuació, explota un script CGI per accedir al router sense autenticació i buscar altres caixes vulnerables. SANS estima que més de 1.000 encaminadors de Linksys ja han estat infectats.
Ja s'ha publicat una prova de concepte orientada a la vulnerabilitat en l'escriptura CGI.
"Hi ha uns 670 rangs IP diferents que busquen per altres routers. Sembla que tots pertanyen a mòdem de cable i ISPs diferents. Es distribueixen una mica a tot el món", va dir Ullrich.
Si detecteu una exploració intensa de sortida als ports 80 i 8080 i connexions entrants en ports diversos inferiors a 1024, és possible que ja estigueu infectats. Si feu clic a "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 i obteniu una sortida XML HNAP, llavors probablement tingueu un encaminador vulnerable, va dir Ullrich.
Defenses contra la Lluna
Si teniu un dels encaminadors vulnerables, podeu fer alguns passos. En primer lloc, els routers que no estan configurats per a l'administració remota no estan exposats, va dir Ullrich. Així que si no necessiteu administració remota, desactiveu Access Management Management Remot des de la interfície d’administrador.
Si necessiteu una administració remota, restringiu l’accés a la interfície administrativa per adreça IP de manera que el cuc no pugui accedir al router. També podeu habilitar Filtres sol·licituds d’Internet anònimes a la pestanya Administració i seguretat. Atès que el worm es propaga pel port 80 i 8080, canviar el port per la interfície d’administrador també dificultarà la cerca del router per al worm, va dir Ullrich.
Els routers domèstics són objectius d'atac més populars, ja que solen ser models més antics i, en general, els usuaris no es mantenen al capdavant de les actualitzacions de firmware. Per exemple, els ciberdelinqüents recentment s’han pirat als encaminadors domèstics i han canviat la configuració del DNS per interceptar la informació enviada als llocs de banca en línia, segons un advertiment de principis d’aquest mes de l’equip polonès d’atenció d’emergències (CERT Polska).
A més, Belkin suggereix actualitzar el firmware més recent per connectar qualsevol altre problema que pugui ser inadequat.
