Il tuo router domestico basato su Linux potrebbe soccombere a un nuovo worm Telnet, Remaiten

La creazione di botnet costituite da router, modem, punti di accesso wireless e altri dispositivi di rete non richiede exploit sofisticati. Remaiten, un nuovo worm che infetta i sistemi integrati, si diffonde sfruttando le deboli password di Telnet.

Remaiten è l'ultima incarnazione di bot Linux denial-of-service distribuiti progettati per architetture embedded. I suoi autori in realtà lo chiamano KTN-Remastered, dove KTN molto probabilmente rappresenta un noto bot Linux chiamato Kaiten.

Durante la ricerca di nuove vittime, Remaiten tenta di connettersi a indirizzi IP casuali sulla porta 23 (Telnet) e, se la connessione ha esito positivo, tenta di autenticarsi utilizzando combinazioni di nome utente e password da un elenco di credenziali comunemente utilizzate, hanno detto i ricercatori di ESET in un post sul blog.

Se l'autenticazione ha esito positivo, il bot esegue diversi comandi per determinare l'architettura del sistema. Quindi trasferisce un piccolo programma di download compilato per quell'architettura che procede a scaricare il bot completo da un server di comando e controllo.

Il malware ha versioni per mips, mipsel, armeabi e armebeabi. Una volta installato, si collega a un canale IRC (Internet Relay Chat) e attende i comandi dagli aggressori.

Il bot supporta una varietà di comandi per l'avvio di diversi tipi di attacchi denial-of-service. Può anche cercare i robot DDoS concorrenti sullo stesso sistema e disinstallarli.

È sorprendente che molti dispositivi di rete utilizzino ancora Telnet per la gestione remota, anziché il protocollo SSH più sicuro. È anche un peccato che molti dispositivi vengano forniti con il servizio Telnet aperto per impostazione predefinita.

I proprietari dei dispositivi dovrebbero utilizzare uno dei tanti strumenti di scansione delle porte online gratuiti per verificare se il loro router ha la porta 23 aperta e dovrebbero provare a chiudere il servizio Telnet dall'interfaccia di amministrazione basata sul Web del dispositivo. Purtroppo molti dispositivi gateway forniti dagli ISP ai propri clienti non offrono agli utenti pieno accesso alle funzionalità di gestione.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.