TheMoon: grave vulnerabilità su molti router Linksys, in arrivo il fix

TheMoon: grave vulnerabilità su molti router Linksys, in arrivo il fix

Alcuni modelli di router Linksys sono vulnerabili ad un worm chiamato "TheMoon" in grado di aggirare i sistemi di autenticazione e compromettere il corretto funzionamento della rete fra i dispositivi collegati

di pubblicata il , alle 17:15 nel canale Sicurezza
 

TheMoon è un worm, ovvero un malware in grado di replicarsi anche senza la necessità di attaccare un file eseguibile. Questo potrebbe infettare alcuni modelli di router Linksys con finalità ad oggi non ancora del tutto note. Il malware agisce aggirando il sistema di autenticazione dei router grazie ad un problema nell'implementazione del protocollo HNAP1, come suggerisce la fonte.

L'exploit è stato reso noto dal SANS Institute's Internet Storm Center (ISC) lo scorso mercoledì, citando problemi su alcuni router Linksys E1000 ed E1200, che eseguivano scansioni su altri intervalli di indirizzi IP sulle porte 80 ed 8080. Il giorno seguente i ricercatori di ISC sostenevano di essere riusciti a catturare il malware responsabile delle scansioni non volute in uno dei sistemi volutamente lasciati esposti alla vulnerabilità.

Gli attacchi sembrano il risultato di un worm che attacca i router Linksys ed utilizza i sistemi infetti per cercare altri dispositivi vulnerabili: "Siamo quindi a conoscenza di un worm che si sta diffondendo fra i vari modelli di router Linksys", sono state le parole di Johannes Ullrich, CTO presso SANS ISC. La società non dispone di una lista definitiva riguardo a tutti i router infetti, ma fra quelli vulnerabili potremmo trovare i seguenti modelli in base alla versione del firmware installato: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900.

Il nome TheMoon è dovuto alla presenza all'interno del malware del logo di Lunar Industries, una compagnia fittizia apparsa nel film The Moon del 2009. Il worm inizia le sue attività mandando una richiesta /HNAP1/URL ai dispositivi sottoposti alla scansione degli IP. HNAP è un protocollo per l'amministrazione delle reti domestiche sviluppato da Cisco, e permette l'identificazione e la gestione del dispositivi di rete.

Il worm manda la richiesta HNAP per individuare il modello del router e la versione del firmware installato. Se determina che un dispositivo è vulnerabile, quindi, manda un'altra richiesta ad uno script CGI specifico che permette l'esecuzione di comandi locali sul dispositivo. SANS non ha naturalmente svelato il nome dello script CGI incriminato, perché è lo stesso che contiene la vulnerabilità che permette di controllare il dispositivo senza richiedere l'autenticazione.

Il worm utilizza la vulnerabilità per scaricare ed eseguire un file binario in formato ELF (Executable and Linkable) compilato per la piattaforma MIPS. Se eseguito su un nuovo router, il binario inizia una nuova scansione per trovare nuovi dispositivi da infettare. Apre, inoltre, un server HTTP su una porta casuale e lo utilizza per mandare una copia dello stesso ai nuovi dispositivi identificati.

Al momento non risulta chiaro lo scopo dell'attacco, tuttavia nel file binario è presente del codice che potrebbe fare pensare alla presenza di un server command-and-control, che potrebbe rivelare la possibile creazione di una botnet che chi esegue l'attacco potrebbe controllare da remoto. Linksys è già al corrente della vulnerabilità e si è detta al lavoro su un possibile fix.

L'attacco non è praticabile sui router che non sono stati configurati per l'amministrazione remota. Se un router ha bisogno di questa specifica funzionalità, la società suggerisce di restringere l'accesso all'interfaccia di amministrazione ad indirizzi IP selezionati ed utilizzare porte diverse dalle 80 ed 8080 utilizzate dagli attacchi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
floc18 Febbraio 2014, 17:35 #1
qualcuno lascia davvero le porte standard per l'amministrazione remota o per i servizi critici? Cambiarla non e' certo la soluzione a tutti i mali ma salvo casi eccezionali lasciarla e' da babbi proprio
Totix9218 Febbraio 2014, 18:30 #2
Questo deve far riflettere su quanto è importante aggiornare sempre i firmware dei propri router... la sicurezza...
Però i firmware Linksys sono un colabrodo in quanto a sicurezza...
massimo79m19 Febbraio 2014, 20:41 #3
e fosse la prima volta!

http://www.hwupgrade.it/forum/showthread.php?t=2626615

comunque e' bello vedere che per ogni cazzata che esce nel mondo degli smartphone, tablet o altre vaccate ci sono millemila post, in questo che parla di cose serie e gravi, 4 commenti. e guardate quanti commenti ci sono nel mio post riportato sopra.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^