Worm 'TheMoon' infetta i router Linksys

Un programma autoreplicante sta infettando i router Linksys sfruttando una vulnerabilità di bypass di autenticazione in vari modelli della linea di prodotti E-Series del fornitore.

+Anche su Network World: Affari tecnologici del giorno dei presidenti strabilianti +

I ricercatori dell'Internet Storm Center (ISC) del SANS Institute hanno emesso un avviso mercoledì sugli incidenti in cui i router Linksys E1000 ed E1200 erano stati compromessi e stavano eseguendo la scansione di altri intervalli di indirizzi IP (Internet Protocol) sulle porte 80 e 8080. Giovedì i ricercatori dell'ISC hanno riferito che hanno sono riusciti a catturare il malware responsabile dell'attività di scansione in uno dei loro honeypot - i sistemi lasciati intenzionalmente esposti per essere attaccati.

Gli attacchi sembrano essere il risultato di un worm - un programma autoreplicante - che compromette i router Linksys e quindi li utilizza per cercare altri dispositivi vulnerabili.

"A questo punto, siamo a conoscenza di un worm che si sta diffondendo tra i vari modelli di router Linksys", ha dichiarato Johannes Ullrich, Chief Technology Officer di SANS ISC, in un post di blog separato. "Non esiste un elenco definito di router vulnerabili, ma i seguenti router potrebbero essere vulnerabili a seconda della versione del firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900."

Il worm, che è stato soprannominato TheMoon perché contiene il logo di Lunar Industries, una società fittizia del film del 2009 "The Moon", inizia richiedendo un / HNAP1 / URL da dispositivi dietro gli indirizzi IP scansionati. HNAP - il protocollo di amministrazione della rete domestica - è stato sviluppato da Cisco e consente l'identificazione, la configurazione e la gestione dei dispositivi di rete.

Il worm invia la richiesta HNAP per identificare il modello del router e la versione del firmware. Se determina che un dispositivo è vulnerabile, invia un'altra richiesta a un particolare script CGI che consente l'esecuzione di comandi locali sul dispositivo.

SANS non ha divulgato il nome dello script CGI perché contiene una vulnerabilità di bypass di autenticazione. "La richiesta non richiede autenticazione", ha dichiarato Ullrich. "Il worm invia credenziali casuali" admin "ma non sono controllate dallo script."

Il worm sfrutta questa vulnerabilità per scaricare ed eseguire un file binario in formato ELF (eseguibile e collegabile) compilato per la piattaforma MIPS. Quando eseguito su un nuovo router, questo binario inizia la ricerca di nuovi dispositivi da infettare. Inoltre apre un server HTTP su una porta casuale a basso numero e lo utilizza per servire una copia di se stesso alle destinazioni appena identificate.

Il binario contiene un elenco hardcoded di oltre 670 intervalli di indirizzi IP che analizza, ha detto Ullrich. "Tutti sembrano essere collegati a ISP modem via cavo o modem in vari paesi."

Non è chiaro quale sia lo scopo del malware oltre alla diffusione su dispositivi aggiuntivi. Ci sono alcune stringhe nel binario che suggeriscono l'esistenza di un server di comando e controllo, che renderebbe la minaccia una botnet che gli aggressori potrebbero controllare in remoto.

Linksys è consapevole della vulnerabilità di alcuni router serie E e sta lavorando a una soluzione, ha dichiarato Mike Duin, portavoce del proprietario di Linksys Belkin, in una e-mail venerdì.

Ullrich ha delineato diverse strategie di mitigazione nei commenti al suo post sul blog. Innanzitutto, i router non configurati per l'amministrazione remota non sono direttamente esposti a questo attacco. Se un router deve essere amministrato in remoto, limitare l'accesso all'interfaccia amministrativa tramite l'indirizzo IP contribuirà a ridurre il rischio, ha affermato Ullrich. Cambiare la porta dell'interfaccia con qualcosa di diverso da 80 o 8080, impedirà anche questo particolare attacco, ha detto.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.