Самореплицирующийся червь распространяется на некоторых моделях маршрутизаторов Linksys для дома и малого офиса.

Исследователи из института SANS доложили о своем открытии, но не смогли определить, есть ли в черве вредоносный груз или он подключается к серверу управления и контроля.

Йоханнес Б. Ульрих, технический директор SANS, заявил, что червь, как считается на данный момент, делает нечто большее, чем ищет другие уязвимые роутеры и распространяется.

«Уязвимость позволяет запускать на роутере произвольный код без аутентификации. Мы не опубликовали всех деталей касательно обнаруженной уязвимости, но она, похоже, не закрыта на многих роутерах», — сказал Ульрих, добавив, что компания Linksys ими уведомлена.

Ульрих сказал, что провайдер из Вайоминга сообщил SANS о необычной сетевой активности и исследователи SANS смогли поймать несколько экземпляров червя в свои ловушки.

Червь был обозначен как The Moon (англ. «Луна») из-за ряда лунных ссылок в строках кода, которые могут быть частью канала управления и контроля. SANS выпустил предварительный список роутеров, которые могут быть уязвимыми в зависимости от версии прошивки: Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 и E900.

По словам Ульриха, после загрузки на роутер The Moon подключается к порту 8080 и использует протокол HNAP (Home Network Administration Protocol), используемый устройствами CISCO, вызывая список функций роутера и версию прошивки. После того как червь определит, какой именно роутер он заразил, он эксплуатирует уязвимый CGI-скрипт, который позволяет ему управлять роутером без аутентификации, и начинает поиск других уязвимых устройств.

«Он ищет другие роутеры примерно по 670 различным IP-диапазонам. Судя по всему, все они принадлежат провайдерским пулам кабельных и DSL-модемов. Они что-то распространяют по всему миру, — сказал Ульрих. — Мы все еще работаем над выяснением, чем конкретно он занимается. Но пока что все выглядит так, что он лишь распространяется (из-за этого мы зовем его червем), и он может иметь функцию «звонка домой», о чем мы и доложили».

Как сказал Ульрих, пока неизвестно, есть ли у него вредоносные функции или он действует только по команде.

«Мы пока не проработали часть управления и контроля. Есть ряд доказательств, что у него имеется как минимум функция доклада, — сказал он. — Червь, вероятно, может менять настройки DNS, как и множество других роутерных эксплойтов, но мы пока находимся в процессе работы над этим».

Изменение настроек DNS на роутере перенаправит трафик на сайт, контролируемый злоумышленниками, или позволит им отслеживать проходящий трафик. Пользователи смогут узнать о компрометации, если увидят в логах мощное исходящее сканирование по портам 80 и 8080 или если найдут входящие соединения по портам с номерами меньше 1024. Ульрих написал на сайте SANS Internet Storm Center, что пользователи могут выполнить команду:

echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Если в ответ приходит XML HNAP, значит, уязвимость, скорее всего, присутствует.

Ульрих заявил, что, пока Linksys-Belkin не выпустит патч или новую прошивку, пользователи могут в качестве меры противодействия отключить удаленное администрирование. Рекомендуется устанавливать новейшую прошивку, но, по словам Ульриха, не ясно, поможет ли это с данной уязвимостью, пока патч не готов. Пользователи также могут ограничить доступ к интерфейсу удаленного администрирования определенными IP-адресами или поменять номер порта интерфейса администрирования, чтобы его было сложнее обнаружить.

Категории: Уязвимости