Červ infikuje Linksys routery

Internetom sa v súčasnosti šíri červ, ktorý infikuje routery značky Linksys a priamo z infikovaných zariadení napáda ďalšie.

Upozornil na to Johannes Ullrich zo SANS Institute, ktorý červa identifikoval.

Červ označený TheMoon podľa obrázku z filmu „The Moon“ nachádzajúceho sa v kóde červa skenuje 627 sietí používaných poskytovateľmi DSL a káblového pripojenia a identifikuje zraniteľné zariadenia pomocou požiadaviek na HNAP, Home Network Administration Protocol, API routera na portoch 80 a 8080.

V prípade detekovania zraniteľného firmvéru spustí cez URL obsahujúcu zraniteľný CGI skript nevyžadujúci autentifikáciu na routeri kód, ktorý stiahne samotného približne 2 MB červa z útočiaceho routera a infikuje cieľ svojho útoku.

Ullrich nezverejnil zraniteľné CGI, podľa následne zverejneného exploit kódu ide o tmUnblock.cgi a hndUnblock.cgi. Či sú aj tieto súčasťou implementácie HNAP nie je jasné.

Podľa Ullrichovho overenia sú zraniteľné viaceré modely E-čkovej série Linksys routerov v závislosti na firmvéri, červ podľa zoznamu modelov vo svojom kóde zrejme napáda viac ako desať modelov E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900 a E300. Navyše sa v jeho kóde nachádzajú aj označenia modelov WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N a WRT150N, či sú zraniteľné aj tieto nie je jasné.

Akú ďalšiu činnosť červ okrem šírenia vykonáva SANS Institute zatiaľ neoveril, nachádza sa v ňom ale aj kód pre komunikáciu s riadiacim serverom.

Zraniteľnosť je možné z Internetu využiť, len ak je na routeri povolená administrácia cez WAN rozhranie. Infikovaný router je možné identifikovať podľa zahltenia linky, keď červ skenuje ďalšie zraniteľné routery na predkonfigurovaných IP rozsahoch s plným vyťažovaním linky. Ďalším spôsobom identifikácie sú otvorené porty nižšie ako 1024, cez ktoré červ umožňuje stiahnuť svoju kópiu.

Zdroj: DSL.sk