The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.02.2014 23:32  Выявлен червь, поражающий неисправленную уязвимость в маршрутизаторах Linksys

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость, червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.

Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства.

Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.

Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.

Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):


    echo “GET /HNAP1/ HTTP/1.1\\r\\nHost: test\\r\\n\\r\\n” | nc routerip 8080

Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

  1. Главная ссылка к новости (https://isc.sans.edu/diary/Lin...)
  2. OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
  3. OpenNews: Критические уязвимости в Cisco Linksys и MySQL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: linksys
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Dimez, 00:19, 18/02/2014 [ответить] [смотреть все]
  • +1 +/
    Cisco, toWORMow starts here!
     
     
  • 2.3, Аноним, 00:27, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    О, а сколько же дыр в "больших" Cisco? ;)
     
     
  • 3.4, A.Stahl, 00:33, 18/02/2014 [^] [ответить] [смотреть все]
  • +37 +/
    В больших цисках дыр нет.
    Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
     
     
  • 4.6, anonymous, 00:56, 18/02/2014 [^] [ответить] [смотреть все]
  • +3 +/
    А я то думаю, кто же мне конфиг по ночам подправляет А это американброзерс оказ... весь текст скрыт [показать]
     
  • 4.44, Аноним, 05:12, 19/02/2014 [^] [ответить] [смотреть все]  
  • +/
    то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз... весь текст скрыт [показать]
     
  • 2.39, Аноноим, 19:33, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    CISCO уже не при делах. Вините белкиных.
     
     
  • 3.42, Dimez, 21:54, 18/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
     
     
  • 4.52, lk, 02:53, 21/02/2014 [^] [ответить] [смотреть все]  
  • +/
    В нарушениях GPL случившихся в линксис до циски виновата была циска В дырах обн... весь текст скрыт [показать]
     
  • 1.5, klalafuda, 00:39, 18/02/2014 [ответить] [смотреть все]  
  • +/
    > The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
    > Next, the worm will send an exploit to a vulnerable CGI script running on these routers.

    Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?

     
     
  • 2.13, Lain_13, 04:59, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
     
  • 2.25, cmp, 11:16, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin admin... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Михаил, 12:54, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Нет, но если получили девайс от провайдера - там все может быть.
     
  • 1.7, Xasd, 01:15, 18/02/2014 [ответить] [смотреть все]  
  • +2 +/
    приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
     
     
  • 2.14, VolanD, 05:40, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это априори гарантирует вам безопасность ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, an, 08:50, 18/02/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    это гарантирует отсутствие веб-интерфейса :)
     
  • 3.19, Аноним, 08:51, 18/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Безопастность никто не сможет гарантировать, но в данном случае, когда человек с... весь текст скрыт [показать]
     
     
  • 4.24, Deq, 10:55, 18/02/2014 [^] [ответить] [смотреть все]  
  • +/
    ну ну, знавали мы таких
     
  • 2.33, Аноним, 15:28, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    О каком роутере речь И прошивка реально вами с 0 собранное окружение ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Xasd, 17:39, 18/02/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    какая ещё прошивка накатил Арчик на железку, установил туда rp-pppoe, hosta... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 20:32, 18/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    На какое устройство вы его установили Что используете в качестве роутера ... весь текст скрыт [показать]
     
  • 2.34, Аноним, 15:45, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да можно и автомобиль самому в гараже собрать Только долго и геморно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Xasd, 19:52, 18/02/2014 [^] [ответить] [смотреть все]  
  • +/
    и дорого
     
     
  • 4.46, Аноним, 06:49, 19/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну это уже как повезет и смотря что включать в цену К тому же если вы будете по... весь текст скрыт [показать]
     
  • 2.36, SunXE, 16:40, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Особенно если этот ванильный GNU Linux-дистрибутив OpenBSD ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 06:50, 19/02/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются С опен... весь текст скрыт [показать]
     
  • 2.55, Аноним, 19:33, 28/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А за скушанный свет вы тоже сами платите? Как оно?
     
  • 1.9, Аноним, 01:34, 18/02/2014 [ответить] [смотреть все]  
  • +/
    И при чём тут open source?
     
     
  • 2.10, IMHO, 01:52, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    новость для того, что бы бежать в opensource истории успеха не только в опенсо... весь текст скрыт [показать] [показать ветку]
     
  • 2.50, Аноним, 02:39, 20/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > И при чём тут open source?

    При том, что при OpenWRT такой фигни не было.

     
  • 1.12, Аноним, 02:37, 18/02/2014 [ответить] [смотреть все]  
  • +3 +/
    WRT320N: снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь.
     
     
  • 2.31, freehck, 14:00, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Слитно.
     
  • 2.45, Аноним, 06:33, 19/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Dual Access Russia L2TP и что бы переживало обновления ip от dhcp сервера пров... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 06:09, 18/02/2014 [ответить] [смотреть все]  
  • +/
    Не троллинга рад Свой IP-шник под ddwrt на dlink сканирую, открыт порт 172... весь текст скрыт [показать]
     
     
  • 2.17, VolanD, 07:37, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Исходники же открыты, в опенкоде бекдоров быть не может Ибо каждый адепт с утра... весь текст скрыт [показать] [показать ветку]
     
  • 2.21, Добрый доктор, 10:10, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    1720/tcp filtered H.323/Q.931
     
  • 2.22, mickvav, 10:17, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323 voip , которо... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 09:32, 18/02/2014 [ответить] [смотреть все]  
  • +2 +/
    Т е чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета Б... весь текст скрыт [показать]
     
  • 1.23, Ринальдус, 10:23, 18/02/2014 [ответить] [смотреть все]  
  • +1 +/
    >> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

    Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

     
     
  • 2.27, klalafuda, 11:28, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Нет конечно Скорее всего он просто выключен ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Аноним, 17:24, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    e3200 - эксплойт не пашет.
     
  • 1.26, siyanieoverip, 11:23, 18/02/2014 [ответить] [смотреть все]  
  • +/
    А без отключения RMA защититься от атаки никак нельзя?
     
  • 1.28, Wulf, 11:44, 18/02/2014 [ответить] [смотреть все]  
  • +/
    > Нет конечно. Скорее всего он просто выключен.

    Ответ неверен. Если он выключен, то 100% надежно защищен

     
     
  • 2.32, klalafuda, 15:24, 18/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, Аноним, 15:49, 18/02/2014 [^] [ответить] [смотреть все]  
  • +/
    Роутеры легкие, чтобы их так уронить - надо еще постараться ... весь текст скрыт [показать]
     
  • 2.49, Аноним, 13:42, 19/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не п... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Дум Дум, 09:15, 19/02/2014 [ответить] [смотреть все]  
  • +1 +/
    "Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
     
     
  • 2.51, vi, 12:10, 20/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, да! :D
    Суперполезный червь-то оказывается! Ищет уязвимости, поражает их и дальше маршрутизатор работает без уязвимостей!
     
  • 1.53, Аноним, 11:54, 09/03/2014 [ответить] [смотреть все]  
  • +/
    На сайте linksys так и нет обновления прошивки :(
     
  • 1.54, Аноним, 14:39, 04/04/2015 [ответить] [смотреть все]  
  • +/
    А как эту команду на windows ввести?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList