Nový červ útočí na počítače s procesory x86 se systémem Linux a prostředím PHP a jeho varianty mohou být nebezpečné také pro zařízení, jako jsou domácí směrovače či set-top boxy založené na jiných rodinách procesorů.
Podle bezpečnostního týmu firmy Symantec se malware šíří prostřednictvím zranitelnosti v php-cgi, komponentě, která umožňuje, aby PHP běželo v konfiguraci CGI. Chyba zabezpečení nese označení CVE-2012-1823 a byla opravena v PHP 5.4.3 a 5.3.13 v květnu 2012.
Nový červ byl pojmenován Linux. Darlloz a byl vytvořen na základě ukázkového kódu z konce listopadu. Po svém spuštění červ útočí na náhodné adresy IP prostřednictvím dotazů HTTP POST, a pokud je cíl nezáplatovaný, nahraje na něj ze zdrojového serveru červ a pokračuje v hledání dalšího hostitele. Jediná varianta červa, která se zatím šíří, napadá pouze systémy s architekturou x86, protože škodlivý spustitelný kód stahovaný z útočícího serveru je formátu ELF architektur firmy Intel.
Nicméně podle zprávy Symantecu se na výchozím infikovanému serveru nacházejí také varianty červa pro jiné architektury, jako je ARM, PPC, MIPS a MIPSEL. Ty jsou často používány pro malá vestavěná zařízení, jako jsou domácí směrovače, kamery IP, set-top boxy a další. Ve zprávě se dále píše: „útočník se očividně snaží maximalizovat dopad infekce rozšířením cílů o prakticky libovolné zařízení se systémem Linux. Nicméně zatím nebyly potvrzeny žádné konkrétní útoky na nepočítačové cíle.“
Firmware řady integrovaných zařízení je postaven na nějaké formě Linuxu včetně webového serveru s podporou PHP kvůli webovému rozhraní pro správu. Podobná zařízení mohou být snadněji napadnutelná, protože jsou málokdy – pokud vůbec – záplatována. Záplatování vestavných či integrovaných zařízení nebylo ostatně pro uživatele nikdy jednoduché, mnoho výrobců nevydává pravidelné záplaty a opravy, a pokud už k tomu dojde, jejich uživatelé nebývají adekvátně informovány o bezpečnostních hrozbách, které oprava firmwaru řeší. Dalším důvodem může být to, že zařízení má natolik minimalizovaný hardware, že pro nové verze softwaru na nich není místo, dostatečná paměť nebo by jej nezvládl vlastní procesor.
Symantec uživatelům podobných zařízení doporučuje, aby nainstalovali poslední dostupnou verzi firmwaru včetně aktualizací, nastavili silná hesla správce a blokovali dotazy HTTP POST směřující na /cgi-bin/php, /cgi-bin/php5, /cgi-bin/php-cgi, /cgi-bin/php.cgi a /cgi-bin/php4 – ať už pomocí svého firewallu, nebo v každém individuálním zařízením, pokud to umožňuje.
PŘEDPLATNÉ
ČLÁNKY DO MAILU