Video: Best Wifi Router 2019 - Nest Wifi, Eero, Netgear Orbi, Linksys Velop, TP Link Deco, Amplifi, Tenda (Oktober 2024)
En selvreplicerende orm udnytter en sårbarhed ved autentificering af bypass i Linksys hjemme- og små virksomheds routere. Hvis du har en af E-seriens routere, er du i fare.
Ormen, der kaldes "Månen" på grund af månens referencer i sin kode, gør ikke meget i øjeblikket ud over at scanne efter andre sårbare routere og laver kopier af sig selv, skrev forskere på SANS Instituttets Internet Storm Center-blog i sidste uge. Det er på nuværende tidspunkt uklart, hvad nyttelasten er, eller om den modtager kommandoer fra en kommando-og-kontrol-server.
"På dette tidspunkt er vi opmærksomme på en orm, der spreder sig blandt forskellige modeller af Linksys-routere, " skrev Johannes Ullrich, teknologichef i SANS, i et blogindlæg. "Vi har ikke en bestemt liste over routere, der er sårbare, men følgende routere kan være sårbare afhængigt af firmwareversion: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Der er rapporter om, at E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N og WRT150N routere også er sårbare.
"Linksys er opmærksom på malware, der kaldes The Moon, der har påvirket udvalgte ældre Linksys E-serie Routers og vælger ældre Wireless-N-adgangspunkter og routere, " skrev Belkin, der erhvervede Linksys-mærket fra Cisco sidste år, i en blog stolpe. En firmwarefix er planlagt, men ingen specifik tidsplan er tilgængelig på dette tidspunkt.
Månen angriber
Når en gang er på en sårbar router, opretter Moon ormen forbindelse til port 8080 og bruger Home Network Administration Protocol (HNAP) til at identificere mærket og firmwaren til den kompromitterede router. Det udnytter derefter et CGI-script til at få adgang til routeren uden godkendelse og scanning efter andre sårbare bokse. SANS estimerer, at over 1.000 Linksys-routere allerede er inficeret.
Et proof-of-concept, der målretter mod sårbarheden i CGI-scriptet, er allerede blevet offentliggjort.
"Der er omkring 670 forskellige IP-intervaller, som den scanner efter andre routere. De ser ud til at alle hører til forskellige kabelmodem- og DSL-internetudbydere. De er distribueret noget over hele verden, " sagde Ullrich.
Hvis du bemærker kraftig udgående scanning i port 80 og 8080 og indgående forbindelser på diverse porte under 1024, kan du allerede være inficeret. Hvis du pinger ekko "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 og får en XML HNAP-output, så har du sandsynligvis en sårbar router, sagde Ullrich.
Forsvar mod månen
Hvis du har en af de sårbare routere, er der et par skridt, du kan tage. Først og fremmest udsættes ikke routere, der ikke er konfigureret til fjernadministration, siger Ullrich. Så hvis du ikke har brug for fjernadministration, skal du deaktivere Remote Management Access fra administratorgrænsefladen.
Hvis du har brug for fjernadministration, skal du begrænse adgangen til den administrative grænseflade med IP-adresse, så ormen ikke kan få adgang til routeren. Du kan også aktivere Filtrer anonyme internetanmodninger under fanen Administration-sikkerhed. Da ormen spreder sig via port 80 og 8080, vil ændring af porten til administratorgrænsefladen også gøre det sværere for ormen at finde routeren, sagde Ullrich.
Hjem routere er populære angrebsmål, da de normalt er ældre modeller, og brugere forbliver generelt ikke på toppen af firmwareopdateringer. For eksempel har cyberkriminelle for nylig hacket sig ind i hjem routere og ændret DNS-indstillinger for at aflytte oplysninger, der er sendt til online banksider, ifølge en advarsel tidligere i denne måned fra det polske Computer Emergency Response Team (CERT Polska).
Belkin foreslår også, at der opdateres til den nyeste firmware for at tilslutte andre problemer, der måtte være uudgivet.
