Worm 'TheMoon' infecteert Linksys-routers

Een zichzelf replicerend programma infecteert Linksys-routers door misbruik te maken van een beveiligingslek met betrekking tot het omzeilen van authenticatie in verschillende modellen uit de E-Series-productlijn van de leverancier.

+Ook op Network World: Oogverblindende technische dagvoorzitters +

Onderzoekers van het Internet Storm Center (ISC) van het SANS Institute hebben woensdag een waarschuwing afgegeven over incidenten waarbij de Linksys E1000- en E1200-routers zijn gecompromitteerd en andere IP-adressen (Internet Protocol) scannen op poorten 80 en 8080. Donderdag meldden de ISC-onderzoekers dat ze zijn erin geslaagd de malware te vangen die verantwoordelijk is voor de scanactiviteit in een van hun honeypots - systemen die opzettelijk zijn blootgesteld aan aanvallen.

De aanvallen lijken het gevolg te zijn van een worm - een zichzelf replicerend programma - dat Linksys-routers in gevaar brengt en die routers vervolgens gebruikt om naar andere kwetsbare apparaten te scannen.

"Op dit moment zijn we ons bewust van een worm die zich verspreidt over verschillende modellen van Linksys-routers", zegt Johannes Ullrich, de chief technology officer bij SANS ISC, in een aparte blogpost. "We hebben geen definitieve lijst met kwetsbare routers, maar de volgende routers kunnen kwetsbaar zijn, afhankelijk van de firmwareversie: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900."

De worm, die TheMoon wordt genoemd omdat deze het logo bevat van Lunar Industries, een fictief bedrijf uit de film "The Moon" uit 2009, begint met het aanvragen van een / HNAP1 / URL van apparaten achter de gescande IP-adressen. HNAP - het Home Network Administration Protocol - is ontwikkeld door Cisco en maakt identificatie, configuratie en beheer van netwerkapparaten mogelijk.

De worm verzendt het HNAP-verzoek om het model en de firmwareversie van de router te identificeren. Als het vaststelt dat een apparaat kwetsbaar is, stuurt het een ander verzoek naar een bepaald CGI-script waarmee lokale opdrachten op het apparaat kunnen worden uitgevoerd.

SANS heeft de naam van het CGI-script niet bekendgemaakt omdat het een kwetsbaarheid voor het omzeilen van authenticatie bevat. 'Het verzoek vereist geen authenticatie', zei Ullrich. "De worm stuurt willekeurige 'admin'-inloggegevens, maar deze worden niet gecontroleerd door het script.'

De worm maakt gebruik van dit beveiligingslek om een ​​binair bestand in ELF-indeling (uitvoerbaar en koppelbaar) te downloaden en uit te voeren dat is samengesteld voor het MIPS-platform. Wanneer uitgevoerd op een nieuwe router, begint dit binaire bestand te scannen naar nieuwe apparaten om te infecteren. Het opent ook een HTTP-server op een willekeurige poort met een laag nummer en gebruikt deze om zichzelf te kopiëren naar de nieuw geïdentificeerde doelen.

Het binaire bestand bevat een hardgecodeerde lijst van meer dan 670 IP-adresbereiken die het scant, zei Ullrich. "Ze lijken allemaal te zijn gekoppeld aan ISP's van kabel- of DSL-modems in verschillende landen."

Het is niet duidelijk wat het doel van de malware is, behalve het verspreiden naar extra apparaten. Er zijn een aantal strings in het binaire bestand die suggereren dat er een command-and-control-server bestaat, waardoor de dreiging een botnet zou worden dat aanvallers op afstand zouden kunnen controleren.

Linksys is zich bewust van de kwetsbaarheid in sommige E-Series-routers en werkt aan een oplossing, zei Mike Duin, een woordvoerder van Linksys-eigenaar Belkin, vrijdag in een e-mail.

Ullrich schetste verschillende mitigatiestrategieën in reacties op zijn blogpost. Allereerst worden routers die niet zijn geconfigureerd voor extern beheer niet direct blootgesteld aan deze aanval. Als een router op afstand moet worden beheerd, zal het beperken van de toegang tot de administratieve interface per IP-adres het risico helpen verminderen, zei Ullrich. Het veranderen van de poort van de interface naar iets anders dan 80 of 8080, zal ook deze specifieke aanval voorkomen, zei hij.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.