neprihlásený Piatok, 4. júla 2025, dnes má meniny Prokop
Červ infikuje Linksys routery

Značky: červroutery

DSL.sk, 17.2.2014


Internetom sa v súčasnosti šíri červ, ktorý infikuje routery značky Linksys a priamo z infikovaných zariadení napáda ďalšie.

Upozornil na to Johannes Ullrich zo SANS Institute, ktorý červa identifikoval.

Červ označený TheMoon podľa obrázku z filmu "The Moon" nachádzajúceho sa v kóde červa skenuje 627 sietí používaných poskytovateľmi DSL a káblového pripojenia a identifikuje zraniteľné zariadenia pomocou požiadaviek na HNAP, Home Network Administration Protocol, API routera na portoch 80 a 8080.

V prípade detekovania zraniteľného firmvéru spustí cez URL obsahujúcu zraniteľný CGI skript nevyžadujúci autentifikáciu na routeri kód, ktorý stiahne samotného približne 2 MB červa z útočiaceho routera a infikuje cieľ svojho útoku.

Ullrich nezverejnil zraniteľné CGI, podľa následne zverejneného exploit kódu ide o tmUnblock.cgi a hndUnblock.cgi. Či sú aj tieto súčasťou implementácie HNAP nie je jasné.

Podľa Ullrichovho overenia sú zraniteľné viaceré modely E-čkovej série Linksys routerov v závislosti na firmvéri, červ podľa zoznamu modelov vo svojom kóde zrejme napáda viac ako desať modelov E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900 a E300. Navyše sa v jeho kóde nachádzajú aj označenia modelov WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N a WRT150N, či sú zraniteľné aj tieto nie je jasné.

Akú ďalšiu činnosť červ okrem šírenia vykonáva SANS Institute zatiaľ neoveril, nachádza sa v ňom ale aj kód pre komunikáciu s riadiacim serverom.

Zraniteľnosť je možné z Internetu využiť, len ak je na routeri povolená administrácia cez WAN rozhranie. Infikovaný router je možné identifikovať podľa zahltenia linky, keď červ skenuje ďalšie zraniteľné routery na predkonfigurovaných IP rozsahoch s plným vyťažovaním linky. Ďalším spôsobom identifikácie sú otvorené porty nižšie ako 1024, cez ktoré červ umožňuje stiahnuť svoju kópiu.

      Zdieľaj na Twitteri



Najnovšie články:

Let’s Encrypt vydala prvý certifikát pre IP adresu
97% nových áut v Nórsku je čistých elektromobilov, dominuje Tesla
O2 mierne zlepšilo pokrytie 5G, už má byť pre 93% ľudí
Časť smartfónov Pixel 6a má problémy s batériou, Google ju bude obmedzovať a vymieňať
Microsoft oznámil ďalšie väčšie prepúšťanie, chce znížiť počet vrstiev manažmentu
SpaceX zničila v poslednom období stovky Starlink satelitov
Tesla stagnuje, opäť vyrobila a dodala menej vozidiel ako na nedávnom vrchole
Štát a železnice začínajú riešiť signál vo vlakoch, v Česku to riešia už dekádu
Ceny DDR4 pamätí sa zvýšili a majú opäť narásť
České dráhy inštalovali na vlak špeciálny Starlink, začínajú cez neho testovať WiFi


Diskusia:
                               
 
Administracia cez WAN?
Od: Philll | Pridané: 17.2.2014 10:03

Administracia cez WAN - koho sudneho by napadlo ponechat tuto moznost zapnutu? Ked uz, tak zabezpeceny tunel na pocitac za routrom a administraciu riesit z lokalnej siete. Dieru v Linksys firmware to samozrejme neospravedlnuje...
Odpovedať Známka: 8.9 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Bežný Jano Užívateľ | Pridané: 17.2.2014 10:51

Čo má internet za 1Euro prvých pár mesiacov a technik ktorý má na háku pri inštalácii sa ti postarajú...


Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: pefoke | Pridané: 17.2.2014 10:54

napriklad BFU .. Inak si myslim ze ked tam nastavim neaky nestandartny port napr 35289 , tak by nemal byt problem. Masovky ako napr. tento cerv idu len po 80 -tke prip. 8080.
Odpovedať Známka: -3.3 Hodnotiť:
 
Re: Administracia cez WAN?
Od reg.: sevo82 | Pridané: 17.2.2014 11:04

ked ti technik od ISP nainstaluje router a mas k nemu len user heslo, prave aby ti v tom mohol ISP pajkovat, tak si nevyberies, donedavna minimalne u T-Com bezna prax (a mozno dodnes)
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Fresco | Pridané: 17.2.2014 11:26

čo som sa stretol s routermi od T-komunistov tak všade bol pre usera plný prístup a mohol si konfigurovať úplne všetko
Odpovedať Známka: 2.3 Hodnotiť:
 
Re: Administracia cez WAN?
Od: trolllooooo | Pridané: 17.2.2014 16:01

novy firmware - flash a si admin a hotovo vybavene

Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: plesk | Pridané: 17.2.2014 16:49

Ta to by ma zaujimalo ako flashes ten telekomacky fw, ked cele zariadenie je robene len pre nich. Ale tak ak by si vedel zohnat novy fw na vigor 2900vg tak hod link. Viem ze router ma ovela viac nastaveni ale kedze nie som admin su nepristupne.dik
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Administracia cez WAN?
Od: Ja. | Pridané: 17.2.2014 15:52

"koho sudneho by napadlo ponechat tuto moznost zapnutu"
Obávam sa, že otázka znie opačne. Koho okrem nerdov by napadlo vôbec niečo nastavovať? Wifi funguje, internet funguje, hotovo.
Odpovedať Známka: 9.1 Hodnotiť:
 
Re: Administracia cez WAN?
Od: ghjnj | Pridané: 18.2.2014 8:52

Nevie niekto, ci je toto osetrene ked je na nich Linksys Smart Wifi? Odkedy som to upgradoval, cele policko o WAN mi odtial zmizlo, da sa nastvovat len https a wifi local
Odpovedať Hodnotiť:
 
redakčná múza
Od reg.: Reaper | Pridané: 17.2.2014 10:04

Čo takto článok k tejto téme?

NSA Backdoor Part 2, BULLDOZER: And, Learn How to DIY a NSA Hardware Implant

http://dopice.sk/8yg
Odpovedať Známka: 7.6 Hodnotiť:
 
Re: redakčná múza
Od: Alino : | Pridané: 17.2.2014 10:52

tak to uz je prepnuty clanok, ten cinan sa vyzna :D
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: redakčná múza
Od: Hamster. | Pridané: 18.2.2014 18:44

Mne každý rok nejaký červ infikuje jablká na záhrade...
Odpovedať Hodnotiť:

Pridať komentár