自己複製ワームは、Linksysホームおよびスモールビジネスルーターの認証バイパスの脆弱性を悪用しています。 Eシリーズルーターのいずれかを使用している場合、リスクがあります。
コード内の月の参照のため「The Moon」と呼ばれるこのワームは、他の脆弱なルーターをスキャンして自分自身のコピーを作成する以上のことは今のところしていません、と研究者は先週、SANS InstituteのInternet Storm Centerブログに書きました。 現時点では、ペイロードが何であるか、またはコマンドアンドコントロールサーバーからコマンドを受信しているかどうかは不明です。
SANSの最高技術責任者であるJohannes Ullrich氏はブログ投稿で「この時点で、Linksysルーターのさまざまなモデルに広がるワームを認識しています」と書いています。 「脆弱なルーターの明確なリストはありませんが、ファームウェアバージョンによっては、E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900のルーターが脆弱である可能性があります。」 E300、WAG320N、WAP300N、WES610N、WAP610N、WRT610N、WRT400N、WRT600N、WRT320N、WRT160N、およびWRT150Nルーターも脆弱であるという報告があります。
「Linksysは、一部の古いLinksys Eシリーズルーターと一部の古いWireless-Nアクセスポイントとルーターに影響を与えたThe Moonというマルウェアを認識しています」と、昨年シスコからLinksysブランドを取得したBelkinはブログに書いています。役職。 ファームウェアの修正が計画されていますが、現時点では特定の時刻表は利用できません。
月の攻撃
脆弱なルーターに接続すると、Moonワームはポート8080に接続し、ホームネットワーク管理プロトコル(HNAP)を使用して、侵害されたルーターのメーカーとファームウェアを識別します。 次に、CGIスクリプトを悪用して、認証なしでルーターにアクセスし、他の脆弱なボックスをスキャンします。 SANSは1, 000を超えるLinksysルーターがすでに感染していると推定しています。
CGIスクリプトの脆弱性を標的とした概念実証がすでに公開されています。
「他のルーターをスキャンするIP範囲は約670あります。それらはすべて異なるケーブルモデムとDSL ISPに属しているように見えます。これらはやや世界中に分散しています」とUllrich氏は言います。
ポート80および8080での大規模なアウトバウンドスキャンと、1024未満のさまざまなポートでのインバウンド接続に気付いた場合、すでに感染している可能性があります。 echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost:test \ r \ n \ r \ n" 'nc routerip 8080 をpingし、XML HNAP出力を取得する場合、おそらく脆弱なルーターがあるとUllrich氏は言います。
月に対する防衛
脆弱なルーターの1つがある場合は、いくつかの手順を実行できます。 まず第一に、リモート管理用に構成されていないルーターは公開されません、とウルリッヒは言いました。 したがって、リモート管理が不要な場合は、管理者インターフェイスからリモート管理アクセスをオフにしてください。
リモート管理が必要な場合は、ワームがルーターにアクセスできないように、IPアドレスで管理インターフェイスへのアクセスを制限します。 [管理-セキュリティ]タブで[匿名インターネット要求のフィルター]を有効にすることもできます。 ワームはポート80および8080を介して拡散するため、管理者インターフェイスのポートを変更すると、ワームがルーターを見つけるのが難しくなります、とUllrich氏は言います。
ホームルーターは一般的に古いモデルであり、ユーザーは一般的にファームウェアの更新を常に把握していないため、一般的な攻撃の標的です。 たとえば、ポーランドのコンピューター緊急対応チーム(CERT Polska)からの今月の警告によると、サイバー犯罪者は最近、ホームルーターにハッキングし、DNS設定を変更してオンラインバンキングサイトに送信される情報を傍受しました。
Belkinは、最新のファームウェアに更新して、パッチが適用されていない可能性のある他の問題を解決することも提案しています。