Linux.Darlloz è un worm che attacca i router

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/linuxdarl...ter_49943.html

È stato individuato un nuovo malware che ha per target i router e sfrutta una vulnerabilità già risolta da parecchi mesi. È però necessario che il produttore abbia rilasciato un apposito update mentre a cura dell'utente rimane l'installazione del firmware aggiornato.

Click sul link per visualizzare la notizia.

[pabloski]

Ultimamente Symantec sta sparando un bel pò di non notizie nei confronti di linux.

In questo caso, la falla è in php e non in un componente di linux. Linux c'entra solo perchè è l'OS usato nel 99.99% dei router.

Se si considera che un mucchio di router vengono lasciati settati con le password di default, direi che quella è una vera grande falla dei router. Ed è pure molto molto diffusa.

[frankie]

Se cambiano la password di default dei router telecom / alice / Fastweb come si fa a bucarli?

[Totix92]

aggiornare i firmware nei router è molto importante a differenza di quello che si crede.

[s0nnyd3marco]

Ho alcuni dubbi sulla notizia:

1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.

2) questa falla e' di php: nella maggior parte dei router non e' accessibile dall'esterno (interfaccia pubblica) le pagine di configurazione.

3)Questa frase e'ambigua:

Quote:

Per queste tipologie di CPU il malware potrebbe utilizzare specifici file executable and linkable format (ELF).

Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.

[ClosingTime]

Quote:

La panoramica di prodotti coinvolti è molto ampia e spazia dai router - come nel caso specifico di xxx - ma coinvolge anche SmartTV, set-top-box o elettrodomestici evoluti

Eh?

[pabloski]

Quote:

Originariamente inviato da emiliano84

mi e' venuto in mente questo articolo che avevo letto:

http://www.engadget.com/2013/08/09/t..._source=feedly

che ne pensate?

(naturalmente le due cose non sono collegate, ho connesso solo per la parola linux)

Praticamente il virus albanese. E' uno dei rari trojan per linux ( se ne contano una trentina ), richiede l'intervento attivo dell'utente per installarsi.

Certo, qualche pollo che ha installato ubuntu solo per poter dire "io uso linux e quindi sono figo", potrebbe cadere nella trappola.

Il problema di linux ( dal punto di vista del malware ) rimane sempre lo stesso, e cioè la frammentazione. Millemila distro, kernel compilati ad hoc ( layout dell'eseguibile del kernel non standard ), differenze nelle libc usate, nell'userland, nell'init system.

[biometallo]

Quote:

Originariamente inviato da s0nnyd3marco

Ho alcuni dubbi sulla notizia:

1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.

3)Questa frase e'ambigua:

Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.

Beh, ma in pratica ti sei risposto da solo, se il worm vennisse convertito in ELF diverrebbe "multipiattaforma e multi os" e capace di attaccare praticamente ogni dispositivo connesso in rete, la cosa mi pare abbastanza chiara anche dall'articolo, anche se consiglio comunque di dare una lettura anche alla fonte in inglese che dice così:

<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>

Quote:

2) questa falla e' di php: nella maggior parte dei router non e' accessibile dall'esterno (interfaccia pubblica) le pagine di configurazione.

In effetti in tutti i router che ho avuto tra le mani l'interfaccia esterna era disabilitata di default, però per dire mi pare ci siano dei router tipo alcuni usati da fastweb, dove non solo l'interfaccia è attiva ma non è neance disattivabile dato che solo loro ci possono accedere da rempoto...

Comunque stando alla symantec queste sono le combinazioni da evitare:
--------------------
admin/admin
root/[BLANK]
root/root
admin/1234
admin/12345
root/admin
root/dreambox
admin/smcadmin
admin/[BLANK]
-------------------
Ehi... ma Admin\password non c'è?.... beh allora sono salvo :V

[pabloski]

Quote:

Originariamente inviato da emiliano84

insomma come il 90% dei virus che si beccano gli utonti windows

non conosco le percentuali, però c'è molto malware drive-by-download e quello s'installa automaticamente

poi windows non presenta variabilità a livello degli eseguibili, il che favorisce l'intrufolamento dei malware nelle strutture dati di kernel e processi accessori ( anche usermode )

[pabloski]

Quote:

Originariamente inviato da biometallo

Beh, ma in pratica ti sei risposto da solo, se il worm vennisse convertito in ELF diverrebbe "multipiattaforma e multi os" e capace di attaccare praticamente ogni dispositivo connesso in rete, la cosa mi pare abbastanza chiara anche dall'articolo, anche se consiglio comunque di dare una lettura anche alla fonte in inglese che dice così:

<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>

la parte inglese dice tutt'altro

primo, il formato degli eseguibili linux è ELF, quindi non c'è nulla da convertire, nessun eseguibile non ELF può girare su un sistema linux

secondo, l'articolo in inglese dice che, il malware potrebbe usare varianti di file ELF già disponibili....non so cosa voglia dire l'autore, ma tale affermazioni è sbagliata

intende dire che il worm si occulterebbe negli eseguibili ELF? intende dire che potrebbe scaricare o incorporare altro malware linux? boh!

comunque, essere ELF non lo renda multipiattaforma ( windows non supporta ELF ma solo PE! )

Quote:

Originariamente inviato da biometallo

Ehi... ma Admin\password non c'è?.... beh allora sono salvo :V

il che la dice lunga sul consiglio di Symantec

onestamente è già la seconda news del genere ( in una settimana )....Symantec sta cercando di terrorizzare gli utenti per spingerli a comprare le loro soluzioni antimalware per linux

mesi fa ci fu un'altra "chiamata alle armi" simile, solo che riguardò android

[s0nnyd3marco]

Quote:

Originariamente inviato da biometallo

Beh, ma in pratica ti sei risposto da solo, se il worm vennisse convertito in ELF diverrebbe "multipiattaforma e multi os" e capace di attaccare praticamente ogni dispositivo connesso in rete, la cosa mi pare abbastanza chiara anche dall'articolo, anche se consiglio comunque di dare una lettura anche alla fonte in inglese che dice così:

<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>

No, aspetta. ELF e' un formato per i file eseguibili, file oggetto e le librerie. Non e' che se hai un eseguibile che segue le regole ELF e' automaticamente multi piattaforma. Un eseguibile x86 non funzionera' mai su arm.
E' come hanno preso la frase italiana chenon mi tornava.

[s0nnyd3marco]

http://www.symantec.com/connect/blog...hidden-devices

Qui e' spiagato meglio: il worm sfrutta una vulnerabilita' di cgi e permette di downloadare dei paylaod eseguibili da varie architetture (mips arm x86 ecc).

Quote:

Currently, the worm seems to infect only Intel x86 systems, because the downloaded URL in the exploit code is hard-coded to the ELF binary for Intel architectures.

Per ora il worm scarica giu' solo il payload per gli x86...

Quote:

We have also verified that the attacker already hosts some variants for other architectures including ARM, PPC, MIPS and MIPSEL on the same server.

...ma che l'attacker ha gia' fatto i payload per altre architetture.

[lockheed]

Quote:

Originariamente inviato da emiliano84

si ho buttato una % giusto per dare un'idea ... ma molti cliccano sul primo .exe che gli capita a tiro ... io da quando e' usctio win7 non ho preso UN SOLO virus

Bhè beato te!
La realtà invece è che il web è popolato da .exe che uno scarica perché magari gli serve il tal dei tali programma.
E' tutto congegnato alla perfezione....Scarichi,klicchi su si nella solita minestra della finestra UAC e poi saluti.
In LINUX invece anche il più niubbio difficilmente lo prende in quel posto perché i pacchetti non se li deve andare a cercare in rete(e con essi i casini),li installa e scarica direttamente dall'O.S stesso.
Dai su...Inutile paragonare mele e pere.....

[WarDuck]

I sistemi operativi GNU/Linux sono sicuri, non invulnerabili.

@pabloski: la frammentazione non è un problema per i malware, è sufficiente linkarsi staticamente le eventuali librerie necessarie, o alle brutte si va di assembly.

Comunque è bello vedere che quando un malware colpisce una piattaforma Linux ovviamente è colpa dell'applicativo, mentre quando un malware colpisce Flash, Java e compagnia bella la colpa è di Windows

[Hal2001]

Quote:

Originariamente inviato da WarDuck

Comunque è bello vedere che quando un malware colpisce una piattaforma Linux ovviamente è colpa dell'applicativo, mentre quando un malware colpisce Flash, Java e compagnia bella la colpa è di Windows

PHP e CGI sai cosa sono? Dato che lo so per certo che li conosci, evita.
Qui il problema è molto grosso, molte apparecchiature elettroniche sono su internet, ed i produttori non rilasciano più aggiornamenti.

[eraser]

Quote:

Originariamente inviato da pabloski

Ultimamente Symantec sta sparando un bel pò di non notizie nei confronti di linux.

In questo caso, la falla è in php e non in un componente di linux. Linux c'entra solo perchè è l'OS usato nel 99.99% dei router.

La piattaforma per cui è stata sviluppata l'infezione è Linux, per cui la definizione di Linux.Darlooz è sintatticamente e formalmente corretta. La falla PHP è una modalità di diffusione

[s0nnyd3marco]

Quote:

Originariamente inviato da WarDuck

I sistemi operativi GNU/Linux sono sicuri, non invulnerabili.

@pabloski: la frammentazione non è un problema per i malware, è sufficiente linkarsi staticamente le eventuali librerie necessarie, o alle brutte si va di assembly.

La frammentazione di linux e' sfavorevole ai malware per il fatto che non puoi dare per scontato di poter sfruttare un certo exploit su una macchina (chissa' che versione del kernel, che librerie, che configurazione, se compilata con che use flag ecc).

La parte in assembly spiegala, perche' non vedo cosa ha a che fare con il discorso delle librerie.

[Pier2204]

In pratica si conferma quello che ormai è una certezza, quando un so è diffuso, in questo caso router Linux, worm, malware e virus nascono anche per i sistemi considerati sicuri sfruttando le falle lasciate aperte da costruttori e forse anche da alcune politiche dei provider...
Che novità...

[Piccioneviaggiatore]

Attenti...aggiornando il FW e' spesso la via piu' veloce per sputtanare un router.
Ma acquistarne uno su cui sia possibile installare OPENWRT ...proprio no?
Sveglia boys !

[WarDuck]

Quote:

Originariamente inviato da Hal2001

PHP e CGI sai cosa sono? Dato che lo so per certo che li conosci, evita.
Qui il problema è molto grosso, molte apparecchiature elettroniche sono su internet, ed i produttori non rilasciano più aggiornamenti.

Evidentemente non hai seguito il mio ragionamento.

Quando un malware attacca Java/Flash/Adobe e vulnerabilità varie degli applicativi Windows si da la colpa al sistema operativo Windows.

Quando ci sono falle di applicativi su Linux, improvvisamente tutti si accorgono che la falla è a livello applicativo.

Quello che contesto è la totale mancanza di onestà intellettuale dei detrattori di Windows/fan di Linux, che usano ogni pretesto per spalare letame su Windows peccando ovviamente di obiettività.