Специалисты по вопросам сетевой безопасности SANS Institute
предупреждают о появлении компьютерного червя, атакующего маршрутизаторы
Linksys.
Вредоносная программа, получившая название TheMoon, распространяется
через порт 8080. Она может при необходимости задействовать SSL.
Посредством запроса "/HNAP1/" URL червь получает перечень параметров
маршрутизатора и текущую версию прошивки. После этого уязвимому
CGI-скрипту отправляется эксплойт; причём запрос, как отмечается, не
требует авторизации. Далее осуществляется загрузка основного кода
вредоносной программы.
Инфицированное сетевое устройство выполняет поиск новых жертв. Анализ
показывает, что червь содержит список приблизительно 670 сетей, в
которых производится сканирование. Пока не ясно, производит ли TheMoon
обмен данными с командно-контрольным центром. Но, судя по всему, такая
функциональность предусмотрена.
В зависимости от версии установленной «прошивки» атакам могут быть
подвержены следующие сетевые устройства Linksys: E4200, E3200, E3000,
E2500, E2100L, E2000, E1550, E1500, E1200, E1000 и E900. Правда, атака
возможна только в том случае, если активирована функция удалённого
управления Remote Management Access, которая по умолчанию выключена.
Представители Linksys сообщили, что осведомлены о проблеме, которая
по их словам, затрагивает отдельные маршрутизаторы E-серии и точки
доступа Wireless-N. Обновлённую версию ПО разработчики обещают выпустить
«в ближайшие недели».
Источник
|
