Відео: Настя и сборник весёлых историй (Вересень 2024)
Черв'як, що самовідтворюється, використовує вразливість в обхід аутентифікації в домашніх і маршрутизаторах малого бізнесу. Якщо у вас є один з маршрутизаторів серії E, ви ризикуєте.
Черв'як, який отримав назву "Місяць" через місячні посилання у своєму коді, на даний момент не робить багато можливостей для пошуку інших вразливих маршрутизаторів та створення копій, дослідники написали на блозі Інституту SANS Internet Storm Center минулого тижня. Наразі незрозуміло, що таке корисна навантаження чи отримує команди з сервера команд і управління.
"На даний момент нам відомо про хробака, який поширюється серед різних моделей маршрутизаторів Linksys", - написав у своєму блозі Йоханнес Улріх, головний директор з технологій SANS. "У нас немає певного переліку маршрутизаторів, які є вразливими, але такі маршрутизатори можуть бути вразливими залежно від версії прошивки: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Існують повідомлення про те, що маршрутизатори E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N та WRT150N також є вразливими.
"Linksys знає про зловмисне програмне забезпечення під назвою The Moon, яке вплинуло на вибір старих маршрутизаторів серій Linksys E та виберіть старі точки доступу та маршрутизатори Wireless-N", - пише Belkin, компанія, яка минулого року придбала бренд Linksys від Cisco у своєму блозі. пост. Планується виправлення програмного забезпечення, але конкретний графік наразі недоступний.
Місячні напади
Опинившись на вразливому маршрутизаторі, черв'як підключається до порту 8080 і використовує протокол адміністрації домашньої мережі (HNAP) для виявлення значень та програмного забезпечення компрометованого маршрутизатора. Потім він використовує CGI-скрипт для доступу до маршрутизатора без аутентифікації та сканування інших вразливих вікон. За оцінками SANS, понад 1000 маршрутизаторів Linksys вже заражені.
Доказ концепції, орієнтованої на вразливість у сценарії CGI, вже опублікований.
"Існує близько 670 різних діапазонів IP, які він сканує для інших маршрутизаторів. Вони, схоже, належать до різних кабельних модемів та DSL-провайдерів. Вони розповсюджуються дещо по всьому світу", - сказав Улріх.
Якщо ви помітите велике вихідне сканування у порти 80 та 8080 та вхідні з'єднання на різних портах нижче 1024, ви вже можете заразитися. Якщо ви запишете ехо "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 та отримаєте вихід XML HNAP, то, ймовірно, у вас є вразливий маршрутизатор, сказав Ullrich.
Захист проти Місяця
Якщо у вас є один із вразливих маршрутизаторів, ви можете зробити кілька кроків. Перш за все, маршрутизатори, які не налаштовані на віддалене адміністрування, не піддаються впливу, сказав Улріх. Тож якщо вам не потрібно віддалене адміністрування, вимкніть доступ до віддаленого управління з інтерфейсу адміністратора.
Якщо вам потрібно віддалене адміністрування, обмежте доступ до адміністративного інтерфейсу за IP-адресою, щоб черв'як не міг отримати доступ до маршрутизатора. Ви також можете ввімкнути фільтр анонімних запитів в Інтернеті на вкладці Адміністрація-безпека. Оскільки черв'як поширюється через порти 80 та 8080, зміна порту для інтерфейсу адміністратора також ускладнить пошук черв'яка, сказав Улріх.
Домашні маршрутизатори - популярні цілі атаки, оскільки вони, як правило, старіші моделі, і користувачі, як правило, не знаходяться в курсі оновлень програмного забезпечення. Наприклад, кіберзлочинці нещодавно зламали домашні маршрутизатори та змінили налаштування DNS для перехоплення інформації, що надсилається на веб-сайти онлайн-банкінгу, згідно з попередженням цього місяця від польської команди з питань комп’ютерного реагування на надзвичайні ситуації (CERT Polska).
Belkin також пропонує оновити до останнього вбудованого програмного забезпечення, щоб підключити будь-які інші проблеми, які можуть бути невиправлені.
