Il worm worm mira ai router domestici Linksys più vecchi

Un worm auto-replicante sta sfruttando una vulnerabilità di bypass di autenticazione nei router domestici e di piccole imprese di Linksys. Se si dispone di uno dei router serie E, si è a rischio.

Il worm, soprannominato "La Luna" a causa dei riferimenti lunari nel suo codice, non sta facendo molto al di là della ricerca di altri router vulnerabili e di fare copie di se stesso, i ricercatori hanno scritto sul blog Internet Storm Center del SANS Institute la scorsa settimana. Al momento non è chiaro quale sia il payload o se stia ricevendo comandi da un server di comando e controllo.

"A questo punto, siamo a conoscenza di un worm che si sta diffondendo tra i vari modelli di router Linksys", ha scritto in un post sul blog Johannes Ullrich, Chief Technology Officer di SANS. "Non disponiamo di un elenco definito di router vulnerabili, ma i seguenti router potrebbero essere vulnerabili a seconda della versione del firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." È stato riferito che anche i router E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N e WRT150N sono vulnerabili.

"Linksys è a conoscenza del malware chiamato The Moon che ha interessato alcuni router della serie E di Linksys più vecchi e punti di accesso e router Wireless-N più vecchi", ha scritto in un blog Belkin, la società che ha acquisito il marchio Linksys da Cisco lo scorso anno inviare. È prevista una correzione del firmware, ma al momento non è disponibile un orario specifico.

The Moon Attacks

Una volta su un router vulnerabile, il worm Moon si collega alla porta 8080 e utilizza il protocollo HNAP (Home Network Administration Protocol) per identificare la marca e il firmware del router compromesso. Quindi sfrutta uno script CGI per accedere al router senza autenticazione e cercare altre caselle vulnerabili. SANS stima che oltre 1.000 router Linksys siano già stati infettati.

È già stata pubblicata una dimostrazione di bozze mirata alla vulnerabilità nello script CGI.

"Esistono circa 670 intervalli IP diversi che analizza per altri router. Sembrano appartenere tutti a modem via cavo e ISP DSL diversi. Sono distribuiti in qualche modo in tutto il mondo", ha dichiarato Ullrich.

Se noti una scansione in uscita pesante nelle porte 80 e 8080 e connessioni in entrata su porte varie inferiori a 1024, potresti essere già infetto. Se esegui il ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 e ottieni un output XML HNAP, allora probabilmente hai un router vulnerabile, ha detto Ullrich.

Difese contro la luna

Se si dispone di uno dei router vulnerabili, è possibile eseguire alcuni passaggi. Innanzitutto, i router che non sono configurati per l'amministrazione remota non sono esposti, afferma Ullrich. Pertanto, se non è necessaria l'amministrazione remota, disattivare l'accesso alla gestione remota dall'interfaccia amministratore.

Se è necessaria l'amministrazione remota, limitare l'accesso all'interfaccia amministrativa tramite l'indirizzo IP in modo che il worm non possa accedere al router. Puoi anche abilitare Filtro richieste Internet anonime nella scheda Amministrazione-Sicurezza. Poiché il worm si diffonde attraverso le porte 80 e 8080, cambiare la porta per l'interfaccia dell'amministratore renderà anche più difficile per il worm trovare il router, ha detto Ullrich.

I router domestici sono obiettivi di attacco popolari, dal momento che di solito sono modelli più vecchi e gli utenti generalmente non si mantengono aggiornati sugli aggiornamenti del firmware. Ad esempio, i criminali informatici hanno recentemente violato i router domestici e modificato le impostazioni DNS per intercettare le informazioni inviate ai siti di servizi bancari online, secondo un avviso all'inizio del mese del Polacco Computer Emergency Response Team (CERT Polska).

Belkin suggerisce anche l'aggiornamento all'ultimo firmware per collegare eventuali altri problemi che potrebbero non essere corretti.