Показано с 1 по 1 из 1.

Выявлен червь, поражающий уязвимость в маршрутизаторах Linksys

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,783
    Вес репутации
    140

    Выявлен червь, поражающий уязвимость в маршрутизаторах Linksys

    Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.
    Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства, сообщает opennet.ru.
    Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.
    Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.
    Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):
    echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
    Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 05.01.2014, 15:00
  2. Ответов: 0
    Последнее сообщение: 17.01.2013, 00:40
  3. Уязвимость в маршрутизаторах D-Link
    От Kuzz в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 21.01.2010, 15:33
  4. Уязвимость в маршрутизаторах Juniper
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 11.01.2010, 17:57
  5. В роутере Linksys обнаружена новая уязвимость
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 02.06.2009, 22:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00445 seconds with 18 queries