neprihlásený Sobota, 19. apríla 2025, dnes má meniny Jela
Červ infikuje Linksys routery

Značky: červroutery

DSL.sk, 17.2.2014


Internetom sa v súčasnosti šíri červ, ktorý infikuje routery značky Linksys a priamo z infikovaných zariadení napáda ďalšie.

Upozornil na to Johannes Ullrich zo SANS Institute, ktorý červa identifikoval.

Červ označený TheMoon podľa obrázku z filmu "The Moon" nachádzajúceho sa v kóde červa skenuje 627 sietí používaných poskytovateľmi DSL a káblového pripojenia a identifikuje zraniteľné zariadenia pomocou požiadaviek na HNAP, Home Network Administration Protocol, API routera na portoch 80 a 8080.

V prípade detekovania zraniteľného firmvéru spustí cez URL obsahujúcu zraniteľný CGI skript nevyžadujúci autentifikáciu na routeri kód, ktorý stiahne samotného približne 2 MB červa z útočiaceho routera a infikuje cieľ svojho útoku.

Ullrich nezverejnil zraniteľné CGI, podľa následne zverejneného exploit kódu ide o tmUnblock.cgi a hndUnblock.cgi. Či sú aj tieto súčasťou implementácie HNAP nie je jasné.

Podľa Ullrichovho overenia sú zraniteľné viaceré modely E-čkovej série Linksys routerov v závislosti na firmvéri, červ podľa zoznamu modelov vo svojom kóde zrejme napáda viac ako desať modelov E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900 a E300. Navyše sa v jeho kóde nachádzajú aj označenia modelov WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N a WRT150N, či sú zraniteľné aj tieto nie je jasné.

Akú ďalšiu činnosť červ okrem šírenia vykonáva SANS Institute zatiaľ neoveril, nachádza sa v ňom ale aj kód pre komunikáciu s riadiacim serverom.

Zraniteľnosť je možné z Internetu využiť, len ak je na routeri povolená administrácia cez WAN rozhranie. Infikovaný router je možné identifikovať podľa zahltenia linky, keď červ skenuje ďalšie zraniteľné routery na predkonfigurovaných IP rozsahoch s plným vyťažovaním linky. Ďalším spôsobom identifikácie sú otvorené porty nižšie ako 1024, cez ktoré červ umožňuje stiahnuť svoju kópiu.

      Zdieľaj na Twitteri



Najnovšie články:

Pripravuje sa ďalší Star Wars film, s Ryanom Goslingom
Používanie HDD má oveľa menšie emisie ako SSD, tvrdí Seagate
Vydané Ubuntu 25.04, s oficiálnou verziou aj pre ARM notebooky
Intel predáva polovicu výrobcu FPGA čipov Altera
Astronómovia tvrdia, že objavili možné znaky života na inej planéte
Digitálnym rádiom sa v Česku začali vysielať tri významné komerčné stanice
Sonda Lucy sa tento týždeň priblíži k asteroidu
Musk sľubuje, že Tesla príde sama k zákazníkovi domov tento rok
Vydaná Fedora 42
Druhá generácia Snapdragon X pre PC má mať o cca 20% vyšší výkon


Diskusia:
                               
 
Administracia cez WAN?
Od: Philll | Pridané: 17.2.2014 10:03

Administracia cez WAN - koho sudneho by napadlo ponechat tuto moznost zapnutu? Ked uz, tak zabezpeceny tunel na pocitac za routrom a administraciu riesit z lokalnej siete. Dieru v Linksys firmware to samozrejme neospravedlnuje...
Odpovedať Známka: 8.9 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Bežný Jano Užívateľ | Pridané: 17.2.2014 10:51

Čo má internet za 1Euro prvých pár mesiacov a technik ktorý má na háku pri inštalácii sa ti postarajú...


Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: pefoke | Pridané: 17.2.2014 10:54

napriklad BFU .. Inak si myslim ze ked tam nastavim neaky nestandartny port napr 35289 , tak by nemal byt problem. Masovky ako napr. tento cerv idu len po 80 -tke prip. 8080.
Odpovedať Známka: -3.3 Hodnotiť:
 
Re: Administracia cez WAN?
Od reg.: sevo82 | Pridané: 17.2.2014 11:04

ked ti technik od ISP nainstaluje router a mas k nemu len user heslo, prave aby ti v tom mohol ISP pajkovat, tak si nevyberies, donedavna minimalne u T-Com bezna prax (a mozno dodnes)
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Fresco | Pridané: 17.2.2014 11:26

čo som sa stretol s routermi od T-komunistov tak všade bol pre usera plný prístup a mohol si konfigurovať úplne všetko
Odpovedať Známka: 2.3 Hodnotiť:
 
Re: Administracia cez WAN?
Od: trolllooooo | Pridané: 17.2.2014 16:01

novy firmware - flash a si admin a hotovo vybavene

Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: plesk | Pridané: 17.2.2014 16:49

Ta to by ma zaujimalo ako flashes ten telekomacky fw, ked cele zariadenie je robene len pre nich. Ale tak ak by si vedel zohnat novy fw na vigor 2900vg tak hod link. Viem ze router ma ovela viac nastaveni ale kedze nie som admin su nepristupne.dik
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Ja. | Pridané: 17.2.2014 15:52

"koho sudneho by napadlo ponechat tuto moznost zapnutu"
Obávam sa, že otázka znie opačne. Koho okrem nerdov by napadlo vôbec niečo nastavovať? Wifi funguje, internet funguje, hotovo.
Odpovedať Známka: 9.1 Hodnotiť:
 
Re: Administracia cez WAN?
Od: ghjnj | Pridané: 18.2.2014 8:52

Nevie niekto, ci je toto osetrene ked je na nich Linksys Smart Wifi? Odkedy som to upgradoval, cele policko o WAN mi odtial zmizlo, da sa nastvovat len https a wifi local
Odpovedať Hodnotiť:
 
redakčná múza
Od reg.: Reaper | Pridané: 17.2.2014 10:04

Čo takto článok k tejto téme?

NSA Backdoor Part 2, BULLDOZER: And, Learn How to DIY a NSA Hardware Implant

http://dopice.sk/8yg
Odpovedať Známka: 7.6 Hodnotiť:
 
Re: redakčná múza
Od: Alino : | Pridané: 17.2.2014 10:52

tak to uz je prepnuty clanok, ten cinan sa vyzna :D
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: redakčná múza
Od: Hamster. | Pridané: 18.2.2014 18:44

Mne každý rok nejaký červ infikuje jablká na záhrade...
Odpovedať Hodnotiť:

Pridať komentár