Linux.Darlloz è un worm che attacca i router

Linux.Darlloz è un worm che attacca i router

È stato individuato un nuovo malware che ha per target i router e sfrutta una vulnerabilità già risolta da parecchi mesi. È però necessario che il produttore abbia rilasciato un apposito update mentre a cura dell'utente rimane l'installazione del firmware aggiornato.

di pubblicata il , alle 12:31 nel canale Sicurezza
 

Alcuni ricercatori di sicurezza hanno individuato un problema che al momento riguarda solo soluzioni Linux, ma la situazione merita di essere approfondita e tenuta sotto osservazione in futuro. Alla base di questo problema di sicurezza c'è il malware Linux.Darlloz, capace di sfruttare una vulnerabilità del linguaggio PHP e al momento attuale compatibile con architetture x86, ma con caratteristiche tali da poter creare problemi anche a sistemi basati su tecnologia ARM, MIPS e altri ancora. Per queste tipologie di CPU il malware potrebbe utilizzare specifici file executable and linkable format (ELF).

Il target di questo worm è costituito da alcuni router destinati a fornire connettività in ambienti home: viene sfruttata una vulnerabilità a livello del codice PHP utilizzato per creare l'interfaccia web di gestione del router, vulnerabilità già risolta circa 18 mesi fa, ma nel caso in cui i dispositivi non siano stati debitamente aggiornati dagli utenti, oppure se il produttore non ha reso disponibile un nuovo firmware il problema sussiste.

Come riporta ArsTechnica.com il dispositivo target riceve una richiesta HTTP POST da una macchina infetta e nel momento in cui la vulnerabilità non ha ricevuto un'adeguata patch il sistema viene infettato: viene scaricato del codice da un server remoto e una volta eseguiti tali comandi viene generato un indirizzo IP random che rappresenta il successivo sistema target. Ci troviamo di fronte a una modalità di distribuzione ben nota e, per ammissione degli stessi esperti di Symantec - il problema pare al momento attuale di lieve pericolosità.

Preoccupano però le possibili varianti del worm Linux.Darlloz, varianti che potrebbero essere ottimizzate per sfruttare agevolmente la medesima vulnerabilità anche su sistemi hardware differenti e non basati su architettura x86. Questo nuovo worm ha per target un componente ben differente dal solito: siamo abituati a considerare i nostri PC, o eventualmente gli smartphone come potenziali obiettivi mentre il router è un componente il cui controllo da parte dell'utente è di sicuro meno facile rispetto al solito.

Gli esperti di sicurezza hanno approfittato della recente individuazione di Linux.Darlloz per invitare alla cautela nei confronti dell' Internet of Things, quindi nei confronti di tutti quei dispositivi differenti da un classico PC, tablet o smartphone ma comunque in grado di accedere al web, di utilizzare risorse di storage e di eseguire codice. La panoramica di prodotti coinvolti è molto ampia e spazia dai router - come nel caso specifico di xxx - ma coinvolge anche SmartTV, set-top-box o elettrodomestici evoluti che fatichiamo a individuare quali potenziali target per un worm.

In questa situazione non ci possono essere soluzioni certe al problema, infatti la vulnerabilità oggetto di exploit può essere risolta solo da parte del produttore del dispositivo stesso. È però raccomandabile verificare a l momento dell'acquisto la possibilità di update integrata nel dispositivo e anche le abitudini del produttore stesso nel rilasciare in modo puntuale e sollecito aggiornamenti firmware. All'utente rimane l'incombenza di provvedere all'installazione costante degli aggiornamenti con lo scenario futuro che ci vedrà - ironicamente - alle prese con l'update firmware di una lavatrice o di un frigorifero.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski28 Novembre 2013, 12:52 #1
Ultimamente Symantec sta sparando un bel pò di non notizie nei confronti di linux.

In questo caso, la falla è in php e non in un componente di linux. Linux c'entra solo perchè è l'OS usato nel 99.99% dei router.

Se si considera che un mucchio di router vengono lasciati settati con le password di default, direi che quella è una vera grande falla dei router. Ed è pure molto molto diffusa.
frankie28 Novembre 2013, 13:22 #2
Se cambiano la password di default dei router telecom / alice / Fastweb come si fa a bucarli?
Totix9228 Novembre 2013, 14:00 #3
aggiornare i firmware nei router è molto importante a differenza di quello che si crede.
s0nnyd3marco28 Novembre 2013, 14:03 #4
Ho alcuni dubbi sulla notizia:

1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.

2) questa falla e' di php: nella maggior parte dei router non e' accessibile dall'esterno (interfaccia pubblica) le pagine di configurazione.

3)Questa frase e'ambigua:
Per queste tipologie di CPU il malware potrebbe utilizzare specifici file executable and linkable format (ELF).

Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.
emiliano8428 Novembre 2013, 14:24 #5
mi e' venuto in mente questo articolo che avevo letto:

http://www.engadget.com/2013/08/09/...m_source=feedly

che ne pensate?

(naturalmente le due cose non sono collegate, ho connesso solo per la parola linux)
ClosingTime28 Novembre 2013, 14:25 #6
La panoramica di prodotti coinvolti è molto ampia e spazia dai router - come nel caso specifico di xxx - ma coinvolge anche SmartTV, set-top-box o elettrodomestici evoluti


Eh?
pabloski28 Novembre 2013, 14:46 #7
Originariamente inviato da: emiliano84
mi e' venuto in mente questo articolo che avevo letto:

http://www.engadget.com/2013/08/09/...m_source=feedly

che ne pensate?

(naturalmente le due cose non sono collegate, ho connesso solo per la parola linux)



Praticamente il virus albanese. E' uno dei rari trojan per linux ( se ne contano una trentina ), richiede l'intervento attivo dell'utente per installarsi.

Certo, qualche pollo che ha installato ubuntu solo per poter dire "io uso linux e quindi sono figo", potrebbe cadere nella trappola.

Il problema di linux ( dal punto di vista del malware ) rimane sempre lo stesso, e cioè la frammentazione. Millemila distro, kernel compilati ad hoc ( layout dell'eseguibile del kernel non standard ), differenze nelle libc usate, nell'userland, nell'init system.
emiliano8428 Novembre 2013, 14:55 #8
Originariamente inviato da: pabloski
Praticamente il virus albanese. E' uno dei rari trojan per linux ( se ne contano una trentina ), richiede l'intervento attivo dell'utente per installarsi.

Certo, qualche pollo che ha installato ubuntu solo per poter dire "io uso linux e quindi sono figo", potrebbe cadere nella trappola.

Il problema di linux ( dal punto di vista del malware ) rimane sempre lo stesso, e cioè la frammentazione. Millemila distro, kernel compilati ad hoc ( layout dell'eseguibile del kernel non standard ), differenze nelle libc usate, nell'userland, nell'init system.


insomma come il 90% dei virus che si beccano gli utonti windows
biometallo28 Novembre 2013, 15:15 #9
Originariamente inviato da: s0nnyd3marco
Ho alcuni dubbi sulla notizia:

1) quanti router "domestici" sono x86? la quasi totalita' e' mips o arm.

3)Questa frase e'ambigua:

Piu' che ELF specifici (che e' uno standard multipiattaforma e multi os), direi eseguibili specifici.


Beh, ma in pratica ti sei risposto da solo, se il worm vennisse convertito in ELF diverrebbe "multipiattaforma e multi os" e capace di attaccare praticamente ogni dispositivo connesso in rete, la cosa mi pare abbastanza chiara anche dall'articolo, anche se consiglio comunque di dare una lettura anche alla fonte in inglese che dice così:

<<But with a minor modification, the malware could begin using variants that incorporate already available executable and linkable format (ELF) files that infect a much wider range of "Internet-of-things" devices>>

2) questa falla e' di php: nella maggior parte dei router non e' accessibile dall'esterno (interfaccia pubblica) le pagine di configurazione.

In effetti in tutti i router che ho avuto tra le mani l'interfaccia esterna era disabilitata di default, però per dire mi pare ci siano dei router tipo alcuni usati da fastweb, dove non solo l'interfaccia è attiva ma non è neance disattivabile dato che solo loro ci possono accedere da rempoto...

Comunque stando alla symantec queste sono le combinazioni da evitare:
--------------------
admin/admin
root/[BLANK]
root/root
admin/1234
admin/12345
root/admin
root/dreambox
admin/smcadmin
admin/[BLANK]
-------------------
Ehi... ma Admin\password non c'è?.... beh allora sono salvo :V
pabloski28 Novembre 2013, 16:18 #10
Originariamente inviato da: emiliano84
insomma come il 90% dei virus che si beccano gli utonti windows


non conosco le percentuali, però c'è molto malware drive-by-download e quello s'installa automaticamente

poi windows non presenta variabilità a livello degli eseguibili, il che favorisce l'intrufolamento dei malware nelle strutture dati di kernel e processi accessori ( anche usermode )

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^