Video: Wi-Fi Router Most important Settings and Tips & Tricks Every User Must Know (Octombrie 2024)
Un vierme auto-replicant exploatează o vulnerabilitate de bypass de autentificare în routerele Linksys de casă și întreprinderi mici. Dacă aveți unul dintre routerele din seria E, aveți riscuri.
Viermele, supranumit „Luna”, din cauza referințelor lunare din codul său, nu face mult în acest moment dincolo de scanarea altor routere vulnerabile și de a face copii de la sine, au scris cercetătorii pe blogul internet Storm Center al Institutului SANS săptămâna trecută. În acest moment nu este clar care este sarcina utilă sau dacă primește comenzi de la un server de comandă și control.
"În acest moment, suntem conștienți de un vierme care se răspândește printre diferite modele de routere Linksys", a scris Johannes Ullrich, ofițerul tehnologic principal la SANS, într-o postare pe blog. "Nu avem o listă certă de routere care sunt vulnerabile, dar următoarele routere pot fi vulnerabile în funcție de versiunea firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Există rapoarte că routerele E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N și WRT150N sunt, de asemenea, vulnerabile.
"Linksys este conștient de malware-ul numit Luna care a afectat selectarea Router-urilor mai vechi din seria E și selectează puncte și routere mai vechi wireless-N", a scris Belkin, compania care a achiziționat marca Linksys de la Cisco anul trecut. post. O soluție de firmware este planificată, dar nu există un orar specific în acest moment.
Luna Atacă
Odată ajuns pe un router vulnerabil, viermele lunar se conectează la portul 8080 și folosește protocolul de rețea de domiciliu (HNAP) pentru a identifica marca și firmware-ul routerului compromis. Apoi exploatează un script CGI pentru a accesa routerul fără autentificare și pentru a scana alte căsuțe vulnerabile. SANS estimează că peste 1.000 de routere Linksys au fost deja infectate.
A fost deja publicată o dovadă de concept care vizează vulnerabilitatea în scriptul CGI.
"Există aproximativ 670 de intervale de IP diferite pe care le scanează pentru alte routere. Se pare că toate aparțin diferitelor modemuri de cablu și ISP-uri DSL. Sunt distribuite oarecum la nivel mondial", a spus Ullrich.
Dacă observați o scanare intensă de ieșire în porturile 80 și 8080 și conexiuni de intrare pe porturi diferite mai mici de 1024, este posibil să fiți deja infectat. Dacă faceți un ecou "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 și obțineți o ieșire XML HNAP, atunci probabil că aveți un router vulnerabil, a spus Ullrich.
Apărări împotriva lunii
Dacă aveți unul dintre routerele vulnerabile, puteți face câțiva pași. În primul rând, routerele care nu sunt configurate pentru administrare de la distanță nu sunt expuse, a spus Ullrich. Deci, dacă nu aveți nevoie de administrare de la distanță, opriți Accesul la gestionare la distanță din interfața de administrator.
Dacă aveți nevoie de administrare de la distanță, restricționați accesul la interfața administrativă prin adresa IP, astfel încât viermele să nu poată accesa routerul. Puteți activa, de asemenea, Filtru Cereri Internet anonime în fila Administrare-securitate. Având în vedere că viermul se răspândește prin porturile 80 și 8080, schimbarea portului pentru interfața de administrator va face și mai dificilă găsirea routerului, a spus Ullrich.
Router-urile de pornire sunt ținte de atac populare, deoarece acestea sunt de obicei modele mai vechi și utilizatorii, în general, nu rămân la curent cu actualizările de firmware. De exemplu, infractorii cibernetici au piratat recent routerele de acasă și au schimbat setările DNS pentru a intercepta informațiile trimise pe site-urile bancare online, potrivit unui avertisment de la începutul acestei luni din partea echipei poloneze de intervenție în caz de urgență (CERT Polska).
De asemenea, Belkin sugerează actualizarea la cel mai recent firmware pentru a conecta orice alte probleme care pot fi nepatrimate.
