Video: TP Link Vulnerability --The Moon Worm-- (Remote Code Execution) using Routersploit Framework (November 2024)
Samo sa replikujúci červ zneužíva zraniteľnosť pri obídení autentifikácie v domácich smerovačoch a malých podnikoch Linksys. Ak máte jeden zo smerovačov radu E, ste v ohrození.
Červ, označovaný ako „Mesiac“ kvôli lunárnym odkazom v jeho kóde, v súčasnosti nerobí nič iné ako skenovanie ďalších zraniteľných smerovačov a vytváranie kópií samotných, vedci napísali minulý týždeň na blog Internet Storm Center inštitútu SANS. V tejto chvíli nie je jasné, čo je užitočné zaťaženie alebo či prijíma príkazy zo servera príkazov a ovládacích prvkov.
„V tejto chvíli sme si vedomí červa, ktorý sa šíri medzi rôznymi modelmi smerovačov Linksys, “ napísal blogový príspevok Johannes Ullrich, hlavný technologický riaditeľ spoločnosti SANS. „Nemáme presný zoznam smerovačov, ktoré sú zraniteľné, ale nasledujúce smerovače môžu byť zraniteľné v závislosti od verzie firmvéru: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.“ Existujú správy, že smerovače E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N a WRT150N sú zraniteľné.
„Linksys si je vedomý škodlivého softvéru s názvom Mesiac, ktorý ovplyvnil výber starších smerovačov radu Linksys E a výber starších prístupových bodov a smerovačov Wireless-N, “ napísala do blogu spoločnosť Belkin, spoločnosť, ktorá minulý rok získala značku Linksys od spoločnosti Cisco. pošta. Oprava firmvéru je plánovaná, ale v súčasnosti nie je k dispozícii žiadny konkrétny časový rozvrh.
Útoky na Mesiac
Keď sa červ nachádza na zraniteľnom smerovači, pripojí sa k portu 8080 a pomocou protokolu HNAP (Home Network Administration Protocol) identifikuje značku a firmvér napadnutého smerovača. Potom použije skript CGI na prístup k smerovaču bez autentifikácie a na vyhľadávanie ďalších zraniteľných polí. SANS odhaduje, že už bolo infikovaných viac ako 1 000 smerovačov.
Už bol publikovaný dôkaz koncepcie zameranej na zraniteľnosť v skripte CGI.
„Existuje asi 670 rôznych rozsahov IP, ktoré vyhľadáva iné smerovače. Zdá sa, že všetky patria k rôznym káblovým modemom a poskytovateľom internetových služieb DSL. Sú distribuované trochu po celom svete, “ uviedol Ullrich.
Ak si všimnete silné odchádzajúce skenovanie v portoch 80 a 8080 a prichádzajúce pripojenia na rôznych portoch nižších ako 1024, môžete už byť infikovaní. Ak ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 a získate výstup XML HNAP, pravdepodobne máte zraniteľný router, uviedol Ullrich.
Obrana proti Mesiacu
Ak máte jeden z zraniteľných smerovačov, môžete podniknúť niekoľko krokov. Po prvé, smerovače, ktoré nie sú nakonfigurované pre vzdialenú správu, nie sú odkryté, uviedol Ullrich. Ak teda nepotrebujete vzdialenú správu, vypnite prístup na správu pomocou rozhrania pre správu.
Ak potrebujete vzdialenú správu, obmedzte prístup do administratívneho rozhrania pomocou adresy IP, aby červ nemohol získať prístup k smerovaču. Filtrovať anonymné požiadavky na internet môžete tiež povoliť na karte Správa-bezpečnosť. Keďže sa červ šíri cez port 80 a 8080, zmena portu pre rozhranie administrátora tiež sťaží červovi nájsť router, uviedol Ullrich.
Domáce smerovače sú populárnymi cieľmi útoku, pretože sú to zvyčajne staršie modely a používatelia spravidla nezostávajú na vrchole aktualizácií firmvéru. Napríklad, počítačoví zločinci nedávno prenikli do domácich smerovačov a zmenili nastavenia DNS tak, aby zachytávali informácie zasielané na stránky internetového bankovníctva. Vyplýva to z varovania začiatkom tohto mesiaca od poľského tímu pre núdzové počítačové situácie (CERT Polska).
Spoločnosť Belkin tiež navrhuje aktualizáciu na najnovší firmvér, aby sa zapojili všetky ďalšie problémy, ktoré sa nemusia vyriešiť.