Podle varování, které ve středu vydalo výzkumné středisko ISC (Internet Storm Center), bylo zaznamenáno nekorektní chování směrovačů Linksys řady E1000 a E1200, které prohledávaly okolní adresy IP na otevřené porty 80 a 8080. O den později ISC potvrdilo, že dané modely mohou být napadeny a že se mu podařilo odchytit aktivního červa pomocí svého honeypotu – úmyslně nechráněnému systému fungujícímu jako vábnička.
Útoky jsou výsledkem červa – sebereplikujícího programu, který napadá systém směrovačů Linksys, které pak používá ke skenování internetu a hledání dalších zranitelných zařízení. Podle Johannese Ullricha, vedoucího technologického pracovníka ISC, prozatím není k dispozici přesný seznam všech zranitelných modelů, ale v závislosti na verzi firmwaru mezi nimi určitě jsou E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 a E900.
Červ byl pojmenován „The Moon“ protože obsahuje logo Lunar Industrie, fiktivní společnosti z filmu „The Moon“. Jeho útok začíná zadáním adresy URL s příkazy protokolu HNAP (Home Network Administration Protocol), který byl vyvinut společností Cisco a který umožňuje identifikaci, konfiguraci a správu síťových zařízení. The Moon pomocí příkazů HNAP zjistí přesnou verzi modelu a firmwaru daného směrovače a pokud je zařízení zranitelné, pomocí konkrétního skriptu CGI spustí lokální proces.
Název používaného skriptu CGI nebyl uveřejněn, protože umožňuje obejít ověřování. Červ odesílá náhodné přihlašovací údaje, protože je skript vůbec neověřuje a automaticky uznává administrátorská práva klienta. Následuje stažení a spuštění binárního souboru formátu ELF (Executable and Linkable), zkompilovaného pro platformu procesorů MIPS. Kód v souboru obsažený potom prohledává adresy IP na další zařízení a spustí na směrovači server HTTP, ze kterého jsou kopie červa distribuovány na další cíle.
Prozatím není jasné, jaký úkol má malware plnit, některé řetězce v kódu ale naznačují existenci řídícího serveru, který by mohl vznikající botnet ovládat podle nějaké konkrétní strategie. Co se týče obranné strategie, vypnutí vzdálené správy zřejmě u většiny zařízení nebude připadat v úvahu, stejně jako omezení přístupu ke správcovskému rozhraní pouze na ověřenou množinu adres IP. Pro danou verzi červa ovšem stačí změnit číslo portu rozhraní mimo výchozí 80 a 8080, i když samozřejmě nějaká nová verze červa může snadno hledat i na jiných portech. To ovšem na druhé straně znamená více pokusů a větší aktivitu v síti, kterou lze relativně snadno identifikovat.
Firma Linksys, kterou nedávno zakoupila společnost Belkin, si je podle svého mluvčího vědoma zranitelnosti některých řad svých směrovačů a pracuje na novém firmwaru, který by měl chybu odstranit.
PŘEDPLATNÉ
ČLÁNKY DO MAILU