Wurm richtet sich an Linux-PCs und embedded-Geräte

2013-12-30  |  Comebuy News

Ein neuer Wurm zielt X 86-Computern, dass Linux und PHP und Varianten auch Geräte wie bedrohen können Router und Set-Top-Boxen, die auf der Grundlage von anderen Chip-Architekturen zu Hause.

Comebuy Verwandte Artikel: Notfall Patches drängte auf Flash, link PHPTrojan Ziele WordSecurity Forscher zweites Malware-Programm zu drucken IncidentsGoogle unwissentlich helfen Santy-Wurm SpreadSymantec Links neueste Microsoft Zero Day-mit erfahrenen Hacker-Bande Räuber

Laut Sicherheitsexperten von Symantec verbreitet sich die Malware über eine Sicherheitslücke in Php-Cgi, eine Komponente, die PHP in die Common Gateway Interface (CGI)-Konfiguration laufen kann. Die Sicherheitsanfälligkeit wird als CVE-2012-1823 nachverfolgt und wurde im Mai 2012 in PHP 5.4.3 und PHP 5.3.13. geflickt.

Der neue Wurm, der Linux.Darlloz genannt wurde, erschien Ende Oktober Proof-of-Concept-Code zugrunde liegt, sagte die Symantec-Forscher Mittwoch in einem Blog-Post.

"Bei der Ausführung der Wurm [Internet Protocol] IP-Adressen zufällig generiert, greift auf einen bestimmten Pfad auf dem Computer mit bekannten ID und Passwörter und sendet HTTP POST-Anforderungen, die diese Sicherheitsanfälligkeit ausnutzen zu können," erklärte die Symantec-Forscher. "Wenn das Ziel nicht gepatchten ist, es lädt den Wurm von einem bösartigen Server und startet die Suche nach ihrem nächsten Ziel."

Die einzige Variante gesehen, so weit die Ziele X 86 Systeme, Verbreitung, weil die schädliche Binärdatei des Angreifers Server heruntergeladen hat ELF (Executable and Linking Format) Format für Intel-Architekturen.

Jedoch behaupten die Symantec-Forscher, dass der Angreifer auch Varianten des Wurms für andere Architekturen wie ARM, PPC, MIPS, MIPSEL hostet.

Diese Architekturen werden in Kleinstgeräte wie home-Router, IP-Kameras, Set-Top-Boxen und viele andere verwendet.

"Der Angreifer offenbar versucht, die Möglichkeit der Infektion zu maximieren, indem die Ausweitung des Abdeckung auf allen Geräten läuft unter Linux," sagte die Symantec-Forscher. "Allerdings haben wir Angriffe auf nicht-PC-Geräten noch nicht bestätigt."

Die vielen embedded-Geräte-Firmware basiert auf irgendeine Art von Linux und umfasst einen Webserver mit PHP für die Web-basierte Administrationsoberfläche. Diese Art von Geräten könnte einfacher sein, als Linux-PCs oder Servern gefährden, weil sie nicht sehr oft Updates zu erhalten.

Patchen von Sicherheitslücken in embedded-Geräten war noch nie eine leichte Aufgabe. Viele Anbieter nicht regelmäßig ausstellen, und wenn sie es tun, Benutzer werden oft nicht richtig informiert über die Fragen der Sicherheit in diese Updates behoben.

Darüber hinaus erfordert die Installation eines Updates auf embedded-Geräten mehr Arbeit und technisches Wissen als regelmäßige Software installiert auf einem Computer zu aktualisieren. Benutzer müssen wissen, wo die Updates veröffentlicht werden, manuell herunterladen und dann laden Sie sie auf ihre Geräte über eine Web-basierte Administrationsoberfläche.

"Viele Benutzer nicht bewusst, dass sie anfällige Geräte in ihre Häuser oder Büros verwenden können", sagte die Symantec-Forscher. "Ein weiteres Problem, denen, das wir gegenüberstehen könnte, das ist, selbst wenn Benutzer anfällige Geräte feststellen, wurden keine Updates bereitgestellt, um einige Produkte des Herstellers aufgrund veralteter Technologie oder Hardware-Beschränkungen, wie nicht genügend Arbeitsspeicher oder eine CPU, die zu langsam, um neue Versionen der Software unterstützt wird."

Um ihre Geräte aus der Wurm zu schützen, sind Benutzer zu überprüfen, ob diese Geräte führen die neueste verfügbare Firmware-Version, die Firmware aktualisieren, wenn erforderlich, starke Verwaltung Kennwörter einrichten und block HTTP POST-Anforderungen-beraten / Cgi-bin/Php,- / Cgi-bin/php5- / Cgi-bin/Php-Cgi,-/cgi-bin/php.cgi und- / Cgi-bin/php4, entweder von der Gateway-Firewall oder auf jedes einzelne Gerät wenn möglich, die Symantec-Forscher erklärten.

« Back