Video: Cash 💳 Back TS (Decembris 2024)
Pašreplicējošs tārps izmanto autentifikācijas apiešanas ievainojamību Linksys mājas un mazā biznesa maršrutētājos. Ja jums ir kāds no E-sērijas maršrutētājiem, jūs esat pakļauts riskam.
Tārps, ko mēdz dēvēt par “Mēness” Mēness atsauču dēļ savā kodā, šobrīd neko daudz nedara, tikai meklējot citus neaizsargātus maršrutētājus un veidojot sevis kopijas, pētnieki pagājušajā nedēļā rakstīja SANS institūta interneta vētras centra emuārā. Šobrīd nav skaidrs, kas ir krava un vai tā saņem komandas no komandu un vadības servera.
"Šobrīd mēs zinām tārpu, kas izplatās starp dažādiem Linksys maršrutētāju modeļiem, " bloga ierakstā rakstīja SANS galvenais tehnoloģiju speciālists Johanness Ullrihs. "Mums nav noteikta neaizsargātu maršrutētāju saraksta, taču šādi maršrutētāji var būt neaizsargāti atkarībā no programmaparatūras versijas: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Ir ziņojumi, ka E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N un WRT150N maršrutētāji ir arī neaizsargāti.
"Linksys ir informēts par ļaundabīgo programmatūru, kuras nosaukums ir The Moon un kas ir ietekmējusi atsevišķus vecākus Linksys E-sērijas maršrutētājus un vecākus bezvadu-N piekļuves punktus un maršrutētājus, " savā blogā rakstīja Belkins, uzņēmums, kurš pagājušajā gadā iegādājās Linksys zīmolu no Cisco. pastu. Tiek plānota programmaparatūras labošana, taču šobrīd nav pieejams konkrēts grafiks.
Mēness uzbrūk
Nokļuvis neaizsargātā maršrutētājā, tārps Mēness izveido savienojumu ar portu 8080 un izmanto mājas tīkla administrēšanas protokolu (HNAP) mājas tīkla maršrutētāja markas un programmaparatūras identificēšanai. Pēc tam tas izmanto CGI skriptu, lai piekļūtu maršrutētājam bez autentifikācijas un meklētu citas neaizsargātas rūtiņas. SANS lēš, ka jau ir inficēti vairāk nekā 1000 Linksys maršrutētāju.
Koncepcijas pierādījums, kas vērsts uz CGI skripta neaizsargātību, jau ir publicēts.
"Ir aptuveni 670 dažādu IP diapazonu, kurus tas skenē citiem maršrutētājiem. Šķiet, ka tie visi pieder pie dažādiem kabeļmodemiem un DSL ISP. Tie ir nedaudz izplatīti visā pasaulē, " sacīja Ullrihs.
Ja pamanāt intensīvu izejošo skenēšanu 80. un 8080. portā un ienākošos savienojumus citos portos, kas mazāki par 1024, jūs, iespējams, jau esat inficēts. Ja jūs piespraužat atbalsi "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 un iegūstat XML HNAP izvadi, tad, iespējams, jums ir ievainojams maršrutētājs, sacīja Ullrihs.
Aizsardzība pret mēness
Ja jums ir viens no neaizsargātajiem maršrutētājiem, ir jāveic dažas darbības. Pirmkārt, netiek pakļauti maršrutētāji, kas nav konfigurēti attālinātai administrēšanai, sacīja Ullihs. Tātad, ja jums nav nepieciešama attālā administrēšana, administratora saskarnē izslēdziet attālo pārvaldības piekļuvi.
Ja jums nepieciešama attāla administrēšana, ierobežojiet piekļuvi administratīvajam interfeisam pēc IP adreses, lai tārps nevarētu piekļūt maršrutētājam. Cilnē Administrācija un drošība varat arī iespējot filtru Anonīmi interneta pieprasījumi. Tā kā tārps izplatās caur portiem 80 un 8080, mainot portu administratora interfeisam, arī tārpam būs grūtāk atrast maršrutētāju, sacīja Ullihs.
Vietējie maršrutētāji ir populāri uzbrukuma mērķi, jo parasti tie ir vecāki modeļi, un lietotāji parasti nepaliek atjaunināti pret programmaparatūru. Piemēram, kibernoziedznieki nesen ir uzlauzuši mājas maršrutētājus un mainījuši DNS iestatījumus, lai pārtvertu informāciju, kas nosūtīta tiešsaistes banku vietnēm, saskaņā ar šā mēneša sākumā sniegto brīdinājumu no Polijas datoru ārkārtas reaģēšanas grupas (CERT Polska).
Belkins arī ierosina atjaunināt uz jaunāko programmaparatūru, lai pievienotu visas citas problēmas, kuras var būt atvienotas.
