Vídeo: Tutorial Arris T862 + Linksys WRT54g (Outubro 2024)
Um worm auto-replicante está explorando uma vulnerabilidade de desvio de autenticação nos roteadores domésticos e de pequenas empresas da Linksys. Se você tiver um dos roteadores da série E, estará em risco.
O worm, apelidado de "A Lua" por causa de referências lunares em seu código, não está fazendo muito no momento, além de procurar outros roteadores vulneráveis e fazer cópias de si mesmo, escreveram pesquisadores no blog Internet Storm Center do Instituto SANS na semana passada. No momento, não está claro qual é a carga útil ou se está recebendo comandos de um servidor de comando e controle.
"Neste momento, estamos cientes de um worm que está se espalhando entre vários modelos de roteadores Linksys", escreveu Johannes Ullrich, diretor de tecnologia da SANS, em um post no blog. "Não temos uma lista definitiva de roteadores vulneráveis, mas os seguintes podem estar vulneráveis, dependendo da versão do firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E100, E900". Há relatos de que os roteadores E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N e WRT150N também são vulneráveis.
"A Linksys está ciente do malware chamado The Moon, que afetou a seleção de roteadores Linksys série E mais antigos e a pontos de acesso e roteadores Wireless-N antigos", escreveu a Belkin, empresa que adquiriu a marca Linksys da Cisco no ano passado, em um blog. postar. Uma correção de firmware está planejada, mas nenhum horário específico está disponível no momento.
Os ataques da lua
Uma vez em um roteador vulnerável, o worm Moon se conecta à porta 8080 e usa o HNAP (Home Network Administration Protocol) para identificar a marca e o firmware do roteador comprometido. Em seguida, ele explora um script CGI para acessar o roteador sem autenticação e procurar outras caixas vulneráveis. O SANS estima que mais de 1.000 roteadores Linksys já foram infectados.
Uma prova de conceito direcionada à vulnerabilidade no script CGI já foi publicada.
"Existem cerca de 670 faixas de IP diferentes que ele procura por outros roteadores. Eles parecem pertencer a diferentes provedores de modem a cabo e DSL. Eles são distribuídos em todo o mundo", disse Ullrich.
Se você perceber uma varredura de saída pesada nas portas 80 e 8080 e conexões de entrada em portas diversas inferiores a 1024, você já poderá estar infectado. Se você executar ping no eco "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 e obtiver uma saída XML HNAP, provavelmente terá um roteador vulnerável, disse Ullrich.
Defesas Contra a Lua
Se você possui um dos roteadores vulneráveis, há algumas etapas que você pode seguir. Primeiro, os roteadores que não estão configurados para administração remota não são expostos, disse Ullrich. Portanto, se você não precisar de administração remota, desative o Acesso ao Gerenciamento Remoto na interface do administrador.
Se você precisar de administração remota, restrinja o acesso à interface administrativa pelo endereço IP, para que o worm não possa acessar o roteador. Você também pode habilitar o filtro de solicitações anônimas da Internet na guia Administração-Segurança. Como o worm se espalha pelas portas 80 e 8080, alterar a porta da interface do administrador também tornará mais difícil o worm encontrar o roteador, disse Ullrich.
Os roteadores domésticos são alvos de ataque populares, pois geralmente são modelos mais antigos e os usuários geralmente não ficam atualizados sobre as atualizações de firmware. Por exemplo, os cibercriminosos invadiram recentemente os roteadores domésticos e alteraram as configurações de DNS para interceptar as informações enviadas aos sites bancários on-line, de acordo com um aviso no início deste mês da equipe polonesa de resposta a emergências de computadores (CERT Polska).
A Belkin também sugere a atualização do firmware mais recente para corrigir quaisquer outros problemas que possam ser corrigidos.
