Video: The Worm Winter Games | Sesame Street Full Episode (Tháng Chín 2024)
Một con sâu tự sao chép đang khai thác lỗ hổng xác thực bỏ qua trong các bộ định tuyến doanh nghiệp nhỏ và nhà của Linksys. Nếu bạn có một trong các bộ định tuyến E-Series, bạn sẽ gặp rủi ro.
Con sâu, được đặt tên là "Mặt trăng" vì các tham chiếu mặt trăng trong mã của nó, hiện không hoạt động nhiều ngoài việc quét các bộ định tuyến dễ bị tổn thương khác và tạo bản sao của chính nó, các nhà nghiên cứu đã viết trên blog Trung tâm Bão Internet của Viện Sans tuần trước. Hiện tại vẫn chưa rõ trọng tải là gì hoặc liệu nó có nhận lệnh từ máy chủ chỉ huy và kiểm soát hay không.
"Tại thời điểm này, chúng tôi nhận thức được một con sâu đang lây lan giữa các mô hình khác nhau của bộ định tuyến Linksys", ông Julian Ullrich, giám đốc công nghệ tại Sans, viết trong một bài đăng trên blog. "Chúng tôi không có danh sách các bộ định tuyến dễ bị tổn thương, nhưng các bộ định tuyến sau có thể dễ bị tổn thương tùy thuộc vào phiên bản phần sụn: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900. Có báo cáo rằng các bộ định tuyến E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N và WRT150N cũng dễ bị tổn thương.
"Linksys nhận thức được phần mềm độc hại có tên The Moon đã ảnh hưởng đến các Bộ định tuyến E-series Linksys cũ hơn và chọn các điểm truy cập và bộ định tuyến Wireless-N cũ hơn", Belkin, công ty mua lại thương hiệu Linksys từ Cisco năm ngoái, đã viết trong một blog bài đăng. Một bản sửa lỗi phần mềm được lên kế hoạch, nhưng không có thời gian biểu cụ thể có sẵn tại thời điểm này.
Cuộc tấn công mặt trăng
Khi ở trên một bộ định tuyến dễ bị tấn công, sâu Moon kết nối với cổng 8080 và sử dụng Giao thức quản trị mạng gia đình (HNAP) để xác định nhãn hiệu và phần sụn của bộ định tuyến bị xâm nhập. Sau đó, nó khai thác tập lệnh CGI để truy cập bộ định tuyến mà không cần xác thực và quét các hộp dễ bị tổn thương khác. Sans ước tính hơn 1.000 bộ định tuyến Linksys đã bị nhiễm.
Một bằng chứng về khái niệm nhắm vào lỗ hổng trong kịch bản CGI đã được xuất bản.
"Có khoảng 670 dải IP khác nhau mà nó quét cho các bộ định tuyến khác. Chúng dường như đều thuộc về modem cáp và ISP DSL khác nhau. Chúng được phân phối phần nào trên toàn thế giới", Ullrich nói.
Nếu bạn nhận thấy quét ra ngoài nặng nề trong cổng 80 và 8080 và các kết nối gửi đến trên các cổng linh tinh thấp hơn 1024, bạn có thể đã bị nhiễm. Nếu bạn ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nhost: test \ r \ n \ r \ n" 'nc routerip 8080 và nhận đầu ra HNAP XML, thì có lẽ bạn có bộ định tuyến dễ bị tổn thương, Ullrich nói.
Phòng thủ chống lại mặt trăng
Nếu bạn có một trong các bộ định tuyến dễ bị tổn thương, có một vài bước bạn có thể thực hiện. Trước hết, các bộ định tuyến không được cấu hình cho quản trị từ xa không bị lộ, Ullrich nói. Vì vậy, nếu bạn không cần quản trị từ xa, hãy tắt Truy cập quản lý từ xa từ giao diện quản trị viên.
Nếu bạn cần quản trị từ xa, hãy hạn chế quyền truy cập vào giao diện quản trị theo địa chỉ IP để sâu không thể truy cập vào bộ định tuyến. Bạn cũng có thể bật Bộ lọc Yêu cầu Internet ẩn danh trong tab Quản trị-Bảo mật. Kể từ khi sâu lây lan qua cổng 80 và 8080, việc thay đổi cổng cho giao diện quản trị viên cũng sẽ khiến sâu khó tìm thấy bộ định tuyến hơn, Ullrich nói.
Bộ định tuyến gia đình là mục tiêu tấn công phổ biến, vì chúng thường là các mẫu cũ hơn và người dùng thường không theo kịp các bản cập nhật firmware. Ví dụ, tội phạm mạng gần đây đã xâm nhập vào các bộ định tuyến gia đình và thay đổi cài đặt DNS để chặn thông tin được gửi đến các trang web ngân hàng trực tuyến, theo cảnh báo hồi đầu tháng này từ Nhóm phản ứng khẩn cấp máy tính Ba Lan (CERT Polska).
Belkin cũng đề nghị cập nhật lên firmware mới nhất để cắm bất kỳ vấn đề nào khác có thể chưa được vá.
