Video: How To Connect Two Routers On One Home Network Using A Lan Cable Stock Router Netgear/TP-Link (Oktober 2024)
En selvrepliserende orm utnytter en sårbarhet for autentisering av bypass i rutene for hjemme- og småbedrifter i Linksys. Hvis du har en av E-Series-ruterne, er du i faresonen.
Ormen, kalt "Månen" på grunn av månerhenvisninger i koden, gjør ikke mye for øyeblikket utover å søke etter andre utsatte rutere og lage kopier av seg selv, skrev forskere på SANS Institutts Internet Storm Center-blogg forrige uke. Det er uklart på dette tidspunktet hva nyttelasten er eller om den mottar kommandoer fra en kommando-og-kontrollserver.
"På dette tidspunktet er vi klar over en orm som sprer seg blant forskjellige modeller av Linksys-rutere, " skrev Johannes Ullrich, teknologisjef i SANS, i et blogginnlegg. "Vi har ikke en klar liste over rutere som er sårbare, men følgende rutere kan være sårbare avhengig av firmwareversjon: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Det er rapporter om at ruterne E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N og WRT150N også er sårbare.
"Linksys er klar over skadelig programvare kalt The Moon som har påvirket utvalgte eldre Linksys E-series Routers og valgt eldre Wireless-N tilgangspunkter og rutere, " skrev Belkin, selskapet som kjøpte merkevaren Linksys fra Cisco i fjor, i en blogg post. En fastvarefix er planlagt, men ingen spesifikk tidsplan er tilgjengelig på dette tidspunktet.
Månen angriper
Når den er på en sårbar ruter, kobles månen ormen til port 8080 og bruker Home Network Administration Protocol (HNAP) for å identifisere merke og firmware til den kompromitterte ruteren. Den utnytter deretter et CGI-skript for å få tilgang til ruteren uten autentisering og skanne etter andre sårbare bokser. SANS estimerer at over 1000 Linksys-rutere allerede er infisert.
Et bevis-på-konsept som målretter sårbarheten i CGI-skriptet, er allerede publisert.
"Det er omtrent 670 forskjellige IP-områder som den skanner etter andre rutere. De ser ut til å tilhøre forskjellige kabelmodem og DSL ISP-er. De er distribuert noe over hele verden, " sa Ullrich.
Hvis du merker tung utgående skanning i port 80 og 8080 og inngående tilkoblinger på diverse porter lavere enn 1024, kan du allerede være smittet. Hvis du pinger ekko "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 og får en XML HNAP-utgang, har du sannsynligvis en sårbar ruter, sa Ullrich.
Forsvar mot månen
Hvis du har en av de utsatte ruterne, er det noen få trinn du kan ta. Først av alt er ikke rutere som ikke er konfigurert for fjernadministrasjon, utsatt Ullrich. Så hvis du ikke trenger fjernadministrasjon, kan du slå av Remote Management Access fra administratorgrensesnittet.
Hvis du trenger fjernadministrasjon, kan du begrense tilgangen til det administrative grensesnittet med IP-adresse, slik at ormen ikke får tilgang til ruteren. Du kan også aktivere filtrere anonyme Internett-forespørsler under fanen Administrasjon-sikkerhet. Siden ormen sprer seg via port 80 og 8080, vil det å endre porten for administratorgrensesnittet også gjøre det vanskeligere for ormen å finne ruteren, sa Ullrich.
Hjemmetrutere er populære angrepsmål, ettersom de vanligvis er eldre modeller, og brukere generelt ikke holder seg oppdatert på firmwareoppdateringene. For eksempel har nettkriminelle nylig hacket seg inn i hjemmerutere og endret DNS-innstillinger for å avskjære informasjon som er sendt til nettbanker, ifølge en advarsel tidligere denne måneden fra det polske Computer Emergency Response Team (CERT Polska).
Belkin foreslår også å oppdatere til den nyeste firmware for å plugge eventuelle andre problemer som kan sendes uten forsendelse.
