Видео: Monster Truck Toys Cars Rc Adventures 2016 Crazy MonsterTruck Offroad Kinderfilm (Ноември 2024)
Червеят, който се самовъзпроизвежда, използва уязвимостта на байпас за удостоверяване в домашни и малки бизнес рутери. Ако имате един от рутерите от E-Series, сте изложени на риск.
Червеят, наречен „Луната“ заради лунните препратки в своя код, в момента не прави много неща отвъд сканирането за други уязвими рутери и правенето на копия на себе си, писаха изследователи в блога на Интернет Storm Center на Института SANS миналата седмица. Понастоящем не е ясно какъв е полезният товар или дали той получава команди от сървър за управление и управление.
„В този момент ние сме наясно с червей, който се разпространява сред различни модели рутери на Linkys“, пише в публикация в блога Йоханес Улрих, главен технологичен директор в SANS. „Нямаме категоричен списък на рутери, които са уязвими, но следните рутери могат да бъдат уязвими в зависимост от версията на фърмуера: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.“ Има съобщения, че маршрутизаторите E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N и WRT150N също са уязвими.
„Linksys е наясно със зловредния софтуер, наречен The Moon, който е засегнал избраните по-стари рутери на Linkys E-серия и избират по-стари безжични точки за достъп и рутери, “ Belkin, компанията, придобила марката Linksys от Cisco миналата година, пише в блог пост. Планирано е поправяне на фърмуер, но понастоящем няма наличен конкретен график.
Лунните атаки
Веднъж попаднал на уязвим рутер, червеят Moon се свързва към порт 8080 и използва протокола за домашна мрежа за администриране (HNAP), за да идентифицира марката и фърмуера на компрометирания рутер. След това използва CGI скрипт за достъп до рутера без удостоверяване и сканиране за други уязвими кутии. SANS изчислява, че над 1000 рутера Linkys вече са заразени.
Вече е публикувано доказателство за концепция, насочено към уязвимостта в скрипта CGI.
"Има около 670 различни IP диапазона, които сканира за други рутери. Изглежда, че всички те принадлежат към различни кабелни модеми и DSL ISP. Те се разпространяват донякъде по целия свят", каза Ullrich.
Ако забележите силно изходящо сканиране в порта 80 и 8080 и входящи връзки на различни портове по-ниски от 1024, може вече да сте заразени. Ако ping ехо "GET / HNAP1 / HTTP / 1.1 \ r \ nПоследствие: тест \ r \ n \ r \ n" 'nc routerip 8080 и получите XML HNAP изход, тогава вероятно имате уязвим рутер, каза Ullrich.
Защита срещу Луната
Ако имате един от уязвимите рутери, можете да направите няколко стъпки. На първо място, рутерите, които не са конфигурирани за отдалечено администриране, не са изложени, каза Улрих. Така че, ако нямате нужда от отдалечена администрация, изключете достъпа за дистанционно управление от интерфейса на администратора.
Ако имате нужда от отдалечена администрация, ограничете достъпа до административния интерфейс чрез IP адрес, така че червеят да не може да получи достъп до рутера. Можете също да активирате Филтриране на анонимни заявки в Интернет в раздела Администрация и сигурност. Тъй като червеят се разпространява през порта 80 и 8080, промяната на порта за администраторския интерфейс също ще затрудни червея да намери рутера, каза Ullrich.
Домашните рутери са популярни мишени за атака, тъй като обикновено те са по-стари модели и потребителите обикновено не остават на върха на актуализациите на фърмуера. Например, наскоро киберпрестъпниците нахлуха в рутери за дома и промениха настройките на DNS, за да прихващат информация, изпратена до сайтове за онлайн банкиране, според предупреждение по-рано този месец от Полския екип за компютърни аварийни реакции (CERT Polska).
Belkin също така предлага актуализиране на най-новия фърмуер, за да се включат всякакви други проблеми, които може да не са откачени.