The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.02.2014 23:32  Выявлен червь, поражающий неисправленную уязвимость в маршрутизаторах Linksys

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость, червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.

Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства.

Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.

Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.

Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):


    echo “GET /HNAP1/ HTTP/1.1\\r\\nHost: test\\r\\n\\r\\n” | nc routerip 8080

Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

  1. Главная ссылка к новости (https://isc.sans.edu/diary/Lin...)
  2. OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
  3. OpenNews: Критические уязвимости в Cisco Linksys и MySQL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linksys
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Dimez (??), 00:19, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Cisco, toWORMow starts here!
     
     
  • 2.3, Аноним (-), 00:27, 18/02/2014 [^] [ответить]    [к модератору]
  • +/
    О, а сколько же дыр в "больших" Cisco? ;)
     
     
  • 3.4, A.Stahl (ok), 00:33, 18/02/2014 [^] [ответить]    [к модератору]
  • +37 +/
    В больших цисках дыр нет.
    Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
     
     
  • 4.6, anonymous (??), 00:56, 18/02/2014 [^] [ответить]    [к модератору]
  • +3 +/
    А я то думаю, кто же мне конфиг по ночам подправляет. А это американброзерс оказывается =)
     
  • 4.44, Аноним (-), 05:12, 19/02/2014 [^] [ответить]     [к модератору]
  • +/
    то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз... весь текст скрыт [показать]
     
  • 2.39, Аноноим (?), 19:33, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    CISCO уже не при делах. Вините белкиных.
     
     
  • 3.42, Dimez (ok), 21:54, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
     
     
  • 4.52, lk (?), 02:53, 21/02/2014 [^] [ответить]     [к модератору]  
  • +/
    В нарушениях GPL случившихся в линксис до циски виновата была циска В дырах обн... весь текст скрыт [показать]
     
  • 1.5, klalafuda (?), 00:39, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
    > Next, the worm will send an exploit to a vulnerable CGI script running on these routers.

    Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?

     
     
  • 2.13, Lain_13 (ok), 04:59, 18/02/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
     
  • 2.25, cmp (ok), 11:16, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
     
  • 2.30, Михаил (??), 12:54, 18/02/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    Нет, но если получили девайс от провайдера - там все может быть.
     
  • 1.7, Xasd (ok), 01:15, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
     
     
  • 2.14, VolanD (ok), 05:40, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > ванильном GNU/Linux-дистрибутиве :)

    Это априори гарантирует вам безопасность?


     
     
  • 3.18, an (??), 08:50, 18/02/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    это гарантирует отсутствие веб-интерфейса :)
     
  • 3.19, Аноним (-), 08:51, 18/02/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Безопастность никто не сможет гарантировать, но в данном случае, когда человек с... весь текст скрыт [показать]
     
     
  • 4.24, Deq (?), 10:55, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    ну ну, знавали мы таких
     
  • 2.33, Аноним (-), 15:28, 18/02/2014 [^] [ответить]     [к модератору]  
  • +/
    О каком роутере речь И прошивка реально вами с 0 собранное окружение ... весь текст скрыт [показать]
     
     
  • 3.38, Xasd (ok), 17:39, 18/02/2014 [^] [ответить]     [к модератору]  
  • +3 +/
    какая ещё прошивка накатил Арчик на железку, установил туда rp-pppoe, hosta... весь текст скрыт [показать]
     
     
  • 4.41, Аноним (-), 20:32, 18/02/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    На какое устройство вы его установили Что используете в качестве роутера ... весь текст скрыт [показать]
     
  • 2.34, Аноним (-), 15:45, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > ванильном GNU/Linux-дистрибутиве :)

    Да можно и автомобиль самому в гараже собрать. Только долго и геморно.

     
     
  • 3.40, Xasd (ok), 19:52, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    и дорого
     
     
  • 4.46, Аноним (-), 06:49, 19/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > и дорого

    Ну это уже как повезет и смотря что включать в цену. К тому же если вы будете покупать штучный кастом по лично вашему заказу - будет еще в 5 раз дороже.

     
  • 2.36, SunXE (ok), 16:40, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)

    Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

     
     
  • 3.47, Аноним (-), 06:50, 19/02/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются С опен... весь текст скрыт [показать]
     
  • 2.55, Аноним (-), 19:33, 28/06/2016 [^] [ответить]    [к модератору]  
  • +/
    А за скушанный свет вы тоже сами платите? Как оно?
     
  • 1.9, Аноним (-), 01:34, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    И при чём тут open source?
     
     
  • 2.10, IMHO (?), 01:52, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    новость для того, что бы бежать в opensource
    "истории успеха" не только в опенсорс есть
     
  • 2.50, Аноним (-), 02:39, 20/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > И при чём тут open source?

    При том, что при OpenWRT такой фигни не было.

     
  • 1.12, Аноним (-), 02:37, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    WRT320N: снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь.
     
     
  • 2.31, freehck (ok), 14:00, 18/02/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Слитно.
     
  • 2.45, Аноним (-), 06:33, 19/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Dual Access / Russia L2TP и что бы переживало обновления ip от dhcp сервера провайдера, каждые полчаса, без разрыва l2tp есть?
     
  • 1.15, Аноним (-), 06:09, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
    1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!
     
     
  • 2.17, VolanD (ok), 07:37, 18/02/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Исходники же открыты, в опенкоде бекдоров быть не может Ибо каждый адепт с утра... весь текст скрыт [показать]
     
  • 2.21, Добрый доктор (?), 10:10, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    1720/tcp filtered H.323/Q.931
     
  • 2.22, mickvav (?), 10:17, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
     
  • 1.20, Аноним (-), 09:32, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Т.е. чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета? Блин, почему опять так сложно?
     
  • 1.23, Ринальдус (ok), 10:23, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

    Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

     
     
  • 2.27, klalafuda (?), 11:28, 18/02/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

    Нет конечно. Скорее всего он просто выключен.

     
  • 2.37, Аноним (-), 17:24, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    e3200 - эксплойт не пашет.
     
  • 1.26, siyanieoverip (?), 11:23, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А без отключения RMA защититься от атаки никак нельзя?
     
  • 1.28, Wulf (??), 11:44, 18/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Нет конечно. Скорее всего он просто выключен.

    Ответ неверен. Если он выключен, то 100% надежно защищен

     
     
  • 2.32, klalafuda (?), 15:24, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ответ неверен. Если он выключен, то 100% надежно защищен

    Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

     
     
  • 3.35, Аноним (-), 15:49, 18/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

    Роутеры легкие, чтобы их так уронить - надо еще постараться.

     
  • 2.49, Аноним (-), 13:42, 19/02/2014 [^] [ответить]    [к модератору]  
  • +/
    > Если он выключен, то 100% надежно защищен

    Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не приставлен вооруженный караул. Но и тогда сомнения не оставляют меня.

     
  • 1.48, Дум Дум (?), 09:15, 19/02/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    "Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
     
     
  • 2.51, vi (?), 12:10, 20/02/2014 [^] [ответить]    [к модератору]  
  • +/
    Да, да! :D
    Суперполезный червь-то оказывается! Ищет уязвимости, поражает их и дальше маршрутизатор работает без уязвимостей!
     
  • 1.53, Аноним (-), 11:54, 09/03/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    На сайте linksys так и нет обновления прошивки :(
     
  • 1.54, Аноним (54), 14:39, 04/04/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как эту команду на windows ввести?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor