TheMoon: grave vulnerabilità su molti router Linksys, in arrivo il fix

TheMoon è un worm, ovvero un malware in grado di replicarsi anche senza la necessità di attaccare un file eseguibile. Questo potrebbe infettare alcuni modelli di router Linksys con finalità ad oggi non ancora del tutto note. Il malware agisce aggirando il sistema di autenticazione dei router grazie ad un problema nell'implementazione del protocollo HNAP1, come suggerisce la fonte.

L'exploit è stato reso noto dal SANS Institute's Internet Storm Center (ISC) lo scorso mercoledì, citando problemi su alcuni router Linksys E1000 ed E1200, che eseguivano scansioni su altri intervalli di indirizzi IP sulle porte 80 ed 8080. Il giorno seguente i ricercatori di ISC sostenevano di essere riusciti a catturare il malware responsabile delle scansioni non volute in uno dei sistemi volutamente lasciati esposti alla vulnerabilità.

Gli attacchi sembrano il risultato di un worm che attacca i router Linksys ed utilizza i sistemi infetti per cercare altri dispositivi vulnerabili: "Siamo quindi a conoscenza di un worm che si sta diffondendo fra i vari modelli di router Linksys", sono state le parole di Johannes Ullrich, CTO presso SANS ISC. La società non dispone di una lista definitiva riguardo a tutti i router infetti, ma fra quelli vulnerabili potremmo trovare i seguenti modelli in base alla versione del firmware installato: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.

Il nome TheMoon è dovuto alla presenza all'interno del malware del logo di Lunar Industries, una compagnia fittizia apparsa nel film The Moon del 2009. Il worm inizia le sue attività mandando una richiesta /HNAP1/URL ai dispositivi sottoposti alla scansione degli IP. HNAP è un protocollo per l'amministrazione delle reti domestiche sviluppato da Cisco, e permette l'identificazione e la gestione del dispositivi di rete.

Il worm manda la richiesta HNAP per individuare il modello del router e la versione del firmware installato. Se determina che un dispositivo è vulnerabile, quindi, manda un'altra richiesta ad uno script CGI specifico che permette l'esecuzione di comandi locali sul dispositivo. SANS non ha naturalmente svelato il nome dello script CGI incriminato, perché è lo stesso che contiene la vulnerabilità che permette di controllare il dispositivo senza richiedere l'autenticazione.

Il worm utilizza la vulnerabilità per scaricare ed eseguire un file binario in formato ELF (Executable and Linkable) compilato per la piattaforma MIPS. Se eseguito su un nuovo router, il binario inizia una nuova scansione per trovare nuovi dispositivi da infettare. Apre, inoltre, un server HTTP su una porta casuale e lo utilizza per mandare una copia dello stesso ai nuovi dispositivi identificati.

Al momento non risulta chiaro lo scopo dell'attacco, tuttavia nel file binario è presente del codice che potrebbe fare pensare alla presenza di un server command-and-control, che potrebbe rivelare la possibile creazione di una botnet che chi esegue l'attacco potrebbe controllare da remoto. Linksys è già al corrente della vulnerabilità e si è detta al lavoro su un possibile fix.

L'attacco non è praticabile sui router che non sono stati configurati per l'amministrazione remota. Se un router ha bisogno di questa specifica funzionalità, la società suggerisce di restringere l'accesso all'interfaccia di amministrazione ad indirizzi IP selezionati ed utilizzare porte diverse dalle 80 ed 8080 utilizzate dagli attacchi.