Лунный червь предназначен для более старых домашних маршрутизаторов Linksys.

Самореплицирующийся червь использует уязвимость обхода аутентификации в маршрутизаторах Linksys для дома и малого бизнеса. Если у вас есть один из маршрутизаторов серии E, вы рискуете.

Червь, получивший название «Луна» из-за лунных ссылок в своем коде, в настоящий момент не делает ничего, кроме сканирования других уязвимых маршрутизаторов и создания своих копий, исследователи написали в блоге Института интернет-штормов SANS Institute на прошлой неделе. В настоящее время неясно, какова полезная нагрузка или получает ли она команды от командно-контрольного сервера.

«На данный момент мы знаем о черве, распространяющемся среди различных моделей маршрутизаторов Linksys», - написал в своем блоге Йоханнес Ульрих, технический директор SANS. «У нас нет определенного списка уязвимых маршрутизаторов, но следующие маршрутизаторы могут быть уязвимы в зависимости от версии прошивки: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900». Есть сообщения, что маршрутизаторы E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N и WRT150N также уязвимы.

«Linksys знает о вредоносном ПО под названием The Moon, которое затронуло некоторые старые маршрутизаторы Linksys E-серии и более старые точки доступа и маршрутизаторы Wireless-N», - пишет в своем блоге компания Belkin, которая в прошлом году приобрела бренд Linksys у Cisco. Почта. Запланировано исправление прошивки, но пока нет конкретного расписания.

Лунные атаки

Попав на уязвимый маршрутизатор, червь Moon подключается к порту 8080 и использует протокол администрирования домашней сети (HNAP) для определения марки и прошивки скомпрометированного маршрутизатора. Затем он использует сценарий CGI для доступа к маршрутизатору без проверки подлинности и поиска других уязвимых блоков. По оценкам SANS, более 1000 маршрутизаторов Linksys уже заражены.

Проверка концепции нацеливания на уязвимость в скрипте CGI уже опубликована.

«Существует около 670 различных диапазонов IP-адресов, которые он сканирует для других маршрутизаторов. Похоже, все они принадлежат разным кабельным модемам и ISL-провайдерам. Они распределены по всему миру», - сказал Ульрих.

Если вы заметили интенсивное сканирование исходящих сообщений в портах 80 и 8080 и входящие соединения в разных портах ниже 1024, возможно, вы уже заражены. Если вы пингуете эхо-запрос «GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n» 'nc routerip 8080 и получаете вывод XML HNAP, то, вероятно, у вас есть уязвимый маршрутизатор, сказал Улльрих.

Оборона против Луны

Если у вас есть один из уязвимых маршрутизаторов, вы можете сделать несколько шагов. Прежде всего, по словам Ульриха, маршрутизаторы, которые не настроены для удаленного администрирования, не открыты. Поэтому, если вам не нужно удаленное администрирование, отключите Remote Management Access из интерфейса администратора.

Если вам необходимо удаленное администрирование, ограничьте доступ к административному интерфейсу по IP-адресу, чтобы червь не мог получить доступ к маршрутизатору. Вы также можете включить фильтр анонимных интернет-запросов на вкладке Администрирование-Безопасность. По словам Ульриха, поскольку червь распространяется через порты 80 и 8080, изменение порта для интерфейса администратора также затруднит поиск червя.

Домашние маршрутизаторы являются популярными объектами атак, так как они, как правило, являются более старыми моделями, и пользователи обычно не остаются в курсе обновлений прошивки. Например, киберпреступники недавно взломали домашние маршрутизаторы и изменили настройки DNS, чтобы перехватывать информацию, отправляемую на сайты онлайн-банкинга, согласно предупреждению, полученному ранее в этом месяце от Польской группы реагирования на компьютерные инциденты (CERT Polska).

Belkin также предлагает обновить прошивку до последней версии, чтобы устранить любые другие проблемы, которые могут быть устранены.