תולעת הירח מכוונת לנתבים ביתיים ישנים יותר של קישורים

תולעת המשכפלת את עצמה מנצלת פגיעות עוקפת אימות בנתבים ביתיים ועסקיים קטנים של Linksys. אם יש לך אחד מהנתבים מסדרת ה- E, אתה נמצא בסיכון.

התולעת, שכונתה "הירח" בגלל אזכורי ירח בקוד שלה, לא עושה הרבה כרגע מעבר לסריקה אחר נתבים פגיעים אחרים והפקת עותקים מעצמה, כתבו החוקרים בבלוג של מרכז SANS באינטרנט מכון הסערה של מרכז המכון. לא ברור כרגע מהו המשא או שמא הוא מקבל פקודות משרת פקודה ובקרה.

"בשלב זה אנו מודעים לתולעת שמתפשטת בין דגמים שונים של נתבי לינקס", כתב ג'והנס אולריך, קצין הטכנולוגיה הראשי ב- SANS, בפוסט בבלוג. "אין לנו רשימת נתבים מוגדרת שהם פגיעים, אך הנתבים הבאים עשויים להיות פגיעים בהתאם לגרסת הקושחה: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." ישנם דיווחים כי נתבי E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N ו- WRT150N פגיעים גם הם.

בלקין, החברה שרכשה את המותג Linksys מסיסקו בשנה שעברה, כתבה בבלוג: "Linksys מודעת לתוכנה הזדונית הנקראת The Moon שהשפיעה על נתבים ישנים של Linksys ישנים מסדרת E ובחרה בנקודות גישה ונתבים Wireless-N ישנים יותר." הודעה. מתוכנן תיקון קושחה, אך כרגע אין לוח זמנים ספציפי זמין.

התקפות הירח

כאשר הוא נמצא בנתב פגיע, תולעת הירח מתחברת ליציאה 8080 ומשתמש בפרוטוקול רשת הרשת הביתית (HNAP) כדי לזהות את היוצר ואת הקושחה של הנתב שנפגע. לאחר מכן הוא מנצל סקריפט CGI כדי לגשת לנתב ללא אימות וסריקה לתיבות פגיעות אחרות. ב- SANS מעריכים כי למעלה מ -1, 000 נתבי Linksys כבר נדבקו.

הוכחת מושג שממוקדת את הפגיעות בתסריט CGI כבר פורסמה.

"ישנם כ -670 טווחי IP שונים אותם הוא סורק לנתבים אחרים. הם נראים כולם שייכים למודם כבלים ולספקי DSL שונים. הם מופצים מעט ברחבי העולם, " אמר אולריך.

אם אתה מבחין בסריקה יוצאת כבדה ביציאות 80 ו- 8080 ובחיבורים נכנסים ביציאות שונות הנמוכות מ- 1024, אתה עלול להידבק כבר. אם אתה מצליח להדהד "GET / HNAP1 / HTTP / 1.1 \ r \ n אירוח: לבדוק \ r \ n \ r \ n" 'הנתב nc 8080 ולקבל פלט XML HNAP, כנראה שיש לך נתב פגיע, אמר Ullrich.

הגנות נגד הירח

אם יש לך אחד מהנתבים הפגיעים, ישנם כמה צעדים שאתה יכול לנקוט. ראשית, נתבים שאינם מוגדרים לניהול מרחוק אינם חשופים, אמר אולריך. כך שאם אינך זקוק לניהול מרחוק, כבה את הגישה לניהול מרחוק מממשק הניהול.

אם אתה זקוק לניהול מרחוק, הגבל את הגישה לממשק הניהולי באמצעות כתובת IP כך שהתולעת לא תוכל לגשת לנתב. ניתן גם לאפשר סינון בקשות אינטרנט אנונימיות בכרטיסייה ניהול אבטחה. מאחר והתולעת מתפשטת דרך יציאה 80 ו- 8080, שינוי היציאה בממשק מנהל המערכת גם יקשה על התולעת למצוא את הנתב, אמר אולריך.

נתבים ביתיים הם יעדי התקפה פופולריים, מכיוון שהם בדרך כלל דגמים ישנים והמשתמשים בדרך כלל אינם נשארים בעדכוני הקושחה. לדוגמה, עברייני סייבר פרצו לאחרונה לנתבים ביתיים ושנו את הגדרות ה- DNS כדי ליירט מידע שנשלח לאתרי בנקאות מקוונת, על פי אזהרה מוקדם יותר החודש מצוות תגובת החירום הפולני למחשבים (CERT Polska).

בלקין מציע גם לעדכן את הקושחה העדכנית ביותר כדי לחבר את כל הבעיות האחרות שעלולות להיות ללא תחרות.