Video: TP Link Vulnerability --The Moon Worm-- (Remote Code Execution) using Routersploit Framework (Oktober 2024)
Črvec, ki se sam razmnožuje, izkorišča ranljivost za obvladovanje pristnosti v usmerjevalnikih Homeys in majhnih podjetjih. Če imate enega od usmerjevalnikov serije E, ste v nevarnosti.
Črv, ki so ga v luči poimenovali "Luna" zaradi lunarnih sklicev, trenutno ne gre kaj dosti od tega, da bi našel druge ranljive usmerjevalnike in naredil kopije, so raziskovalci zapisali prejšnji teden na spletnem spletnem dnevniku Centra za nevihte SANS. Trenutno ni jasno, kakšna je koristna obremenitev ali sprejema ukaze s strežnika za nadzor in nadzor.
"Na tej točki se zavedamo črvov, ki se širijo med različnimi modeli usmerjevalnikov Linksys, " je v blogu zapisal Johannes Ullrich, glavni tehnološki direktor pri SANS. "Nimamo dokončnega seznama usmerjevalnikov, ki so ranljivi, vendar so lahko naslednji usmerjevalniki ranljivi glede na različico vdelane programske opreme: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Obstajajo poročila, da so ranljivi tudi usmerjevalniki E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N in WRT150N.
"Linksys se zaveda zlonamerne programske opreme, imenovane The Moon, ki je vplivala na izbiro starejših usmerjevalnikov serije Linksys in izbrala starejše dostopne točke in usmerjevalnike Wireless-N, " je Belkin, podjetje, ki je lani kupilo blagovno znamko Linksys pri Ciscu, zapisal na svojem blogu objava. Načrtuje se odprava vdelane programske opreme, vendar trenutno ni na voljo nobenega posebnega časovnega razporeda.
Luna napada
Črv Moon se na ranljivem usmerjevalniku poveže s pristaniščem 8080 in uporabi protokol za upravljanje domačega omrežja (HNAP) za identifikacijo znamke in strojne programske opreme ogrožene usmerjevalnice. Nato uporabi skript CGI za dostop do usmerjevalnika brez preverjanja pristnosti in iskanje drugih ranljivih polj. SANS ocenjuje, da je več kot 1000 usmerjevalnikov Linksys že okuženih.
Dokazilo koncepta, ki cilja na ranljivost v skriptu CGI, je že objavljeno.
"Obstaja približno 670 različnih obsegov IP, ki jih skenira za druge usmerjevalnike. Zdi se, da vsi pripadajo različnim kabelskim modemom in ponudnikom DSL ISP. Nekaj jih distribuirajo po vsem svetu, " je dejal Ullrich.
Če v vratih 80 in 8080 opazite močno skeniranje odhodnih povezav in vhodne povezave na različnih vratih, nižjih od 1024, ste morda že okuženi. Če ping eho "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 in dobite izhod XML HNAP, potem imate verjetno ranljiv usmerjevalnik, je dejal Ullrich.
Obramba proti Luni
Če imate enega od ranljivih usmerjevalnikov, lahko storite nekaj korakov. Najprej usmerjevalniki, ki niso konfigurirani za oddaljeno upravljanje, niso izpostavljeni, je dejal Ullrich. Če ne potrebujete oddaljene administracije, izklopite dostop do oddaljenega upravljanja iz skrbniškega vmesnika.
Če potrebujete oddaljeno administracijo, omejite dostop do skrbniškega vmesnika po naslovu IP, tako da črv ne more dostopati do usmerjevalnika. Prav tako lahko na kartici Administracija-varnost omogočite filtriranje anonimnih internetnih zahtev. Ker se črv širi prek vrat 80 in 8080, bo sprememba vmesnika za skrbniški vmesnik otežila tudi iskanje usmerjevalnika, je dejal Ullrich.
Domači usmerjevalniki so priljubljena tarča napadov, saj so ponavadi starejši modeli in uporabniki na splošno ne ostajajo nad posodobitvami strojne programske opreme. Na primer, kibernetski kriminalci so pred kratkim vdrli v domače usmerjevalnike in spremenili nastavitve DNS, da bi prestregli informacije, poslane spletnim mestom spletnega bančništva, kaže opozorilo poljske ekipe za računalniško odzivanje v sili (CERT Polska) v začetku tega meseca.
Belkin predlaga tudi posodobitev najnovejše strojne programske opreme, da povežete morebitne druge težave, ki niso na voljo.
