Linux.Darlloz è un worm che attacca i router
È stato individuato un nuovo malware che ha per target i router e sfrutta una vulnerabilità già risolta da parecchi mesi. È però necessario che il produttore abbia rilasciato un apposito update mentre a cura dell'utente rimane l'installazione del firmware aggiornato.
di Fabio Boneschi pubblicata il 28 Novembre 2013, alle 12:31 nel canale SicurezzaAlcuni ricercatori di sicurezza hanno individuato un problema che al momento riguarda solo soluzioni Linux, ma la situazione merita di essere approfondita e tenuta sotto osservazione in futuro. Alla base di questo problema di sicurezza c'è il malware Linux.Darlloz, capace di sfruttare una vulnerabilità del linguaggio PHP e al momento attuale compatibile con architetture x86, ma con caratteristiche tali da poter creare problemi anche a sistemi basati su tecnologia ARM, MIPS e altri ancora. Per queste tipologie di CPU il malware potrebbe utilizzare specifici file executable and linkable format (ELF).
Il target di questo worm è costituito da alcuni router destinati a fornire connettività in ambienti home: viene sfruttata una vulnerabilità a livello del codice PHP utilizzato per creare l'interfaccia web di gestione del router, vulnerabilità già risolta circa 18 mesi fa, ma nel caso in cui i dispositivi non siano stati debitamente aggiornati dagli utenti, oppure se il produttore non ha reso disponibile un nuovo firmware il problema sussiste.
Come riporta ArsTechnica.com il dispositivo target riceve una richiesta HTTP POST da una macchina infetta e nel momento in cui la vulnerabilità non ha ricevuto un'adeguata patch il sistema viene infettato: viene scaricato del codice da un server remoto e una volta eseguiti tali comandi viene generato un indirizzo IP random che rappresenta il successivo sistema target. Ci troviamo di fronte a una modalità di distribuzione ben nota e, per ammissione degli stessi esperti di Symantec - il problema pare al momento attuale di lieve pericolosità.
Preoccupano però le possibili varianti del worm Linux.Darlloz, varianti che potrebbero essere ottimizzate per sfruttare agevolmente la medesima vulnerabilità anche su sistemi hardware differenti e non basati su architettura x86. Questo nuovo worm ha per target un componente ben differente dal solito: siamo abituati a considerare i nostri PC, o eventualmente gli smartphone come potenziali obiettivi mentre il router è un componente il cui controllo da parte dell'utente è di sicuro meno facile rispetto al solito.
Gli esperti di sicurezza hanno approfittato della recente individuazione di Linux.Darlloz per invitare alla cautela nei confronti dell' Internet of Things, quindi nei confronti di tutti quei dispositivi differenti da un classico PC, tablet o smartphone ma comunque in grado di accedere al web, di utilizzare risorse di storage e di eseguire codice. La panoramica di prodotti coinvolti è molto ampia e spazia dai router - come nel caso specifico di xxx - ma coinvolge anche SmartTV, set-top-box o elettrodomestici evoluti che fatichiamo a individuare quali potenziali target per un worm.
In questa situazione non ci possono essere soluzioni certe al problema, infatti la vulnerabilità oggetto di exploit può essere risolta solo da parte del produttore del dispositivo stesso. È però raccomandabile verificare a l momento dell'acquisto la possibilità di update integrata nel dispositivo e anche le abitudini del produttore stesso nel rilasciare in modo puntuale e sollecito aggiornamenti firmware. All'utente rimane l'incombenza di provvedere all'installazione costante degli aggiornamenti con lo scenario futuro che ci vedrà - ironicamente - alle prese con l'update firmware di una lavatrice o di un frigorifero.
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
Samsung Galaxy Book3 Pro con Intel Core i5-1340P, 16GB RAM e schermo 14" 3K 3000x2000 pixel è sceso a 948€!
Panasonic LUMIX DC-GH6 a 1.799€ con il 12-60mm (solo 2 pezzi): la video fotocamera pro è in super sconto!
Lenovo ThinkPad P1 Gen 7, la prima workstation mobile con memoria in formato LPCAMM2
Blizzard gela i fan: BlizzCon 2024 cancellata, ma potrebbe tornare in futuro
AI PC: Intel punta a superare 40 milioni di unità spedite quest'anno, ma al mercato non piacciono le stime per il Q2
La Cina ha lanciato la missione Shenzhou-18 con tre astronauti diretti verso la stazione spaziale cinese
La sonda spaziale NASA Psyche comunica via laser con la Terra da 226 milioni di chilometri
Dacia Duster, prima guida: con le versioni ibride spacca il mercato
Google Pixel 8 Pro 256 GB a 928€ (minimo storico) e tutte le altre offerte sui Google Pixel
Arriva l'ok da Parlamento europeo sul diritto alla riparazione. Ecco cosa cambierà
RISC-V: l'uso dell'ISA open-source da parte della Cina preoccupa gli Stati Uniti
Amazon scatenata: iPad a 399€, airfryer 38€, smartphone, portatili e moltissimi articoli in svendita!
SK hynix, costruzione della Fab M15X ai nastri di partenza: previsto boom delle memorie HBM
Oggi 459€ per utenti Prime il portatile low cost con AMD Ryzen 7 5700U (8C/16T a 4,3GHz), 16GB RAM, SSD 512GB, Full HD!
34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoIn questo caso, la falla è in php e non in un componente di linux. Linux c'entra solo perchè è l'OS usato nel 99.99% dei router.
Se si considera che un mucchio di router vengono lasciati settati con le password di default, direi che quella è una vera grande falla dei router. Ed è pure molto molto diffusa.
1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.
2) questa falla e' di php: nella maggior parte dei router non e' accessibile dall'esterno (interfaccia pubblica) le pagine di configurazione.
3)Questa frase e'ambigua:
Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.
Eh?
http://www.engadget.com/2013/08/09/...m_source=feedly
che ne pensate?
(naturalmente le due cose non sono collegate, ho connesso solo per la parola linux)
Praticamente il virus albanese. E' uno dei rari trojan per linux ( se ne contano una trentina ), richiede l'intervento attivo dell'utente per installarsi.
Certo, qualche pollo che ha installato ubuntu solo per poter dire "io uso linux e quindi sono figo", potrebbe cadere nella trappola.
Il problema di linux ( dal punto di vista del malware ) rimane sempre lo stesso, e cioè la frammentazione. Millemila distro, kernel compilati ad hoc ( layout dell'eseguibile del kernel non standard ), differenze nelle libc usate, nell'userland, nell'init system.
1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.
3)Questa frase e'ambigua:
Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.
Beh, ma in pratica ti sei risposto da solo, se il worm vennisse convertito in ELF diverrebbe "multipiattaforma e multi os" e capace di attaccare praticamente ogni dispositivo connesso in rete, la cosa mi pare abbastanza chiara anche dall'articolo, anche se consiglio comunque di dare una lettura anche alla fonte in inglese che dice così:
<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>
In effetti in tutti i router che ho avuto tra le mani l'interfaccia esterna era disabilitata di default, però per dire mi pare ci siano dei router tipo alcuni usati da fastweb, dove non solo l'interfaccia è attiva ma non è neance disattivabile dato che solo loro ci possono accedere da rempoto...
Comunque stando alla symantec queste sono le combinazioni da evitare:
--------------------
admin/admin
root/[BLANK]
root/root
admin/1234
admin/12345
root/admin
root/dreambox
admin/smcadmin
admin/[BLANK]
-------------------
Ehi... ma Admin\password non c'è?.... beh allora sono salvo :V
non conosco le percentuali, però c'è molto malware drive-by-download e quello s'installa automaticamente
poi windows non presenta variabilità a livello degli eseguibili, il che favorisce l'intrufolamento dei malware nelle strutture dati di kernel e processi accessori ( anche usermode )
<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>
la parte inglese dice tutt'altro
primo, il formato degli eseguibili linux è ELF, quindi non c'è nulla da convertire, nessun eseguibile non ELF può girare su un sistema linux
secondo, l'articolo in inglese dice che, il malware potrebbe usare varianti di file ELF già disponibili....non so cosa voglia dire l'autore, ma tale affermazioni è sbagliata
intende dire che il worm si occulterebbe negli eseguibili ELF? intende dire che potrebbe scaricare o incorporare altro malware linux? boh!
comunque, essere ELF non lo renda multipiattaforma ( windows non supporta ELF ma solo PE! )
il che la dice lunga sul consiglio di Symantec
onestamente è già la seconda news del genere ( in una settimana )....Symantec sta cercando di terrorizzare gli utenti per spingerli a comprare le loro soluzioni antimalware per linux
mesi fa ci fu un'altra "chiamata alle armi" simile, solo che riguardò android
<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>
No, aspetta. ELF e' un formato per i file eseguibili, file oggetto e le librerie. Non e' che se hai un eseguibile che segue le regole ELF e' automaticamente multi piattaforma. Un eseguibile x86 non funzionera' mai su arm.
E' come hanno preso la frase italiana chenon mi tornava.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".