04. 12. 2013

Červ, pojmenovaný Linux.Darlloz, je kromě počítačů schopen napadat celou řadu malých zařízení připojených k internetu. Existují varianty pro čipové architektury nacházející se obvykle v zařízeních, jako jsou domácí routery, set-top boxy a bezpečnostní kamery.

Charakteristika zranitelnosti

Červ se šíří tím, že využívá dříve známou chybu zabezpečení v PHP, která byla opravena v květnu 2012. Výzkumník Symantecu Kaoru Hayashi uvedl, že tvůrce červa používá proof-of-concept kód, který byl vydán na konci října 2013.

Po spuštění červ vygeneruje náhodné IP adresy a na nich se snaží přistupovat ke konkrétním cestám na každém stroji, který nemá zadáno heslo, nebo má nastaveno známé defaultní heslo. Pak odesílá požadavky POST HTTP, které tuto chybu zabezpečení využívají. Pokud je cíl zranitelný, stáhne červa ze škodlivého serveru a začne hledat další vhodné cíle. Červ nastaví iptable tak, že zahazuje pakety na portu TCP 23 a zabraňuje vzdáleným uživatelům se připojit k ohroženému počítači.

V současné době se zdá, že červ infikuje pouze systémy Intel x86, protože URL ve škodlivém kódu je v ELF souboru pevně kódovaná hodnota pro architekturu Intel. Hayashi tvrdí, že útočník má na stejném serveru některé varianty červa i pro jiné architektury včetně ARM, PPC, MIPS a Mipsel.

Postižené systémy

  • Linux

Dopad zranitelnosti

Umožňuje vzdálenému útočníkovi spustit libovolný kód na napadeném zařízení.

Řešení

Ke zmírnění této hrozby, Symantec doporučuje, aby uživatelé:

  • aktualizovali software na nejnovější verzi
  • aktualizovali antivirový software
  • používali silná hesla
  • blokovali příchozí požadavky HTTP POST u následujících cest brány do internetu, nebo na každém zařízení, pokud nejsou vyžadovány: -/cgi-bin/php; -/cgi-bin/php5; -/cgi-bin/php-cgi; -/cgi-bin/php.cgi; -/cgi-bin/php4.

CVE

CVE-2012-2336

Odkazy

http://www.symantec.com/security_response/writeup.jsp?docid=2013-112710-1612-99&tabid=2
http://www.securityweek.com/linux-worm-targets-internet-things