Video: Google Wifi Mesh Router Review // Still GREAT in 2019? (Marraskuu 2024)
Itsetoistuva mato hyödyntää todennuksen ohituksen haavoittuvuutta Linksysin koti- ja pienyritysten reitittimissä. Jos sinulla on jokin E-sarjan reitittimistä, olet vaarassa.
Mato, jonka nimitys on "Kuu" koodin kuun viittausten takia, ei tee tällä hetkellä paljon muuta kuin etsii muita haavoittuvia reitittimiä ja tekee kopioita itsestään, tutkijat kirjoittivat SANS-instituutin Internet Storm Center -blogissa viime viikolla. Tällä hetkellä ei ole selvää, mikä hyötykuorma on tai vastaanottaako se komentoja komento- ja hallintapalvelimelta.
"Tässä vaiheessa olemme tietoisia matoista, joka leviää Linksys-reitittimien eri malleissa", SANS: n tekninen päällikkö Johannes Ullrich kirjoitti blogiviestissä. "Meillä ei ole tarkkaa luetteloa reitittimistä, jotka ovat herkkiä, mutta seuraavat reitittimet saattavat olla haavoittuvia laiteohjelmistoversiosta riippuen: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." On ilmoitettu, että E300-, WAG320N-, WAP300N-, WES610N-, WAP610N-, WRT610N-, WRT400N-, WRT600N-, WRT320N-, WRT160N- ja WRT150N-reitittimet ovat myös haavoittuvia.
"Linksys on tietoinen The Moon -haittaohjelmasta, joka on vaikuttanut tiettyihin vanhempiin Linksys E-sarjan reitittimiin ja vanhoihin Wireless-N-tukiasemiin ja reitittimiin", Belkin, yritys, joka osti Linksys-tuotemerkin Ciscolta viime vuonna, kirjoitti blogissa lähettää. Laiteohjelmistokorjaus on suunnitteilla, mutta erityistä aikataulua ei ole tällä hetkellä saatavana.
Kuu hyökkää
Kun haavoittuvalla reitittimellä on, Moon-mato muodostaa yhteyden porttiin 8080 ja käyttää Home Network Administration Protocol (HNAP) -järjestelmää tunnistaakseen vaarannetun reitittimen merkin ja laiteohjelmiston. Sitten se hyödyntää CGI-skriptiä päästäkseen reitittimeen ilman todennusta ja etsimään muita haavoittuvia ruutuja. SANS-arvioiden mukaan yli 1000 Linksys-reititintä on jo saanut tartunnan.
CGI-komentosarjan haavoittuvuuteen kohdistuva konseptikonsepti on jo julkaistu.
"On noin 670 erilaista IP-aluetta, joita se etsii muille reitittimille. Ne näyttävät kaikki kuuluvan eri kaapelimodeemi- ja DSL-Internet-palveluntarjoajiin. Ne ovat jakautuneet jonkin verran maailmanlaajuisesti", Ullrich sanoi.
Jos huomaat voimakkaan lähtevän skannauksen porteissa 80 ja 8080 ja saapuvien yhteyksien sekalaisissa porteissa alle 1024, saatat jo olla tartunnan saanut. Jos pingotat kaikua "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc reitittimellä 8080 ja saat XML HNAP-ulostulon, sinulla on todennäköisesti haavoittuva reititin, Ullrich sanoi.
Puolustusta kuuta vastaan
Jos sinulla on yksi haavoittuvista reitittimistä, voit suorittaa muutaman vaiheen. Ensinnäkin reitittimiä, joita ei ole määritetty etähallintaa varten, ei paljasteta, Ullrich sanoi. Joten jos et tarvitse etähallintaa, poista etähallintaoikeudet käytöstä järjestelmänvalvojan käyttöliittymästä.
Jos tarvitset etähallintaa, rajoita pääsyä käyttöliittymään IP-osoitteen perusteella, jotta mato ei pääse reitittimeen. Voit ottaa myös käyttöön nimettömien Internet-pyyntöjen suodattamisen Hallinta-suojaus-välilehdessä. Koska mato leviää porttien 80 ja 8080 kautta, järjestelmänvalvojan käyttöliittymän portin muuttaminen vaikeuttaa myös madon löytämistä reitittimestä, Ullrich sanoi.
Kotireitittimet ovat suosittuja hyökkäyskohteita, koska ne ovat yleensä vanhempia malleja ja käyttäjät eivät yleensä pysy firmware-päivitysten edessä. Esimerkiksi tietoverkkorikolliset ovat viime aikoina murtautuneet kotireitittimiin ja muuttaneet DNS-asetuksia sieppaamaan verkkopankkisivustoille lähetettyjä tietoja, aiemmin tässä kuussa annettujen varoitusten mukaan Puolan tietokonehälytysryhmältä (CERT Polska).
Belkin ehdottaa myös päivitystä uusimpaan laiteohjelmistoon, jotta voidaan kytkeä kaikki muut ongelmat, joita ei ole vielä lähetetty.