Sistemele deservite de reţeaua wireless asigurată de router-ul tău pot fi în pericol, în cazul în care producătorul router-ului este Linksys, anunţă thehackernews.com.
Johannes B. Ullrich, cercetător la SANS Technology Institute, avertizează asupra unui nou tip de malware - "THE MOON" - care se auto-replică şi care exploatează vulnerabilităţile router-elor wireless Linksys în secvenţele de autentificare şi de executare a scripturilor.
Malware-ul apelează router-ul utilizând protocolul HNAP (Home Network Administration Protocol), devoltat de Cisco Systems, care permite identificarea, configurarea şi managementul dispozitivelor de reţea.
Apoi, în cazul în care dispozitivul prezintă vulnerabilităţi, este trimis un exploit de tip CGI script pentru a dobândi acces la linia de comandă a router-ului.
Odată instalat, THE MOON încearcă să se răspândească efectuând o operaţie de scanare pentru descoperirea altor dispozitive vulnerabile, răspândindu-se de la router la router. Până în acest moment se estimează a fi contaminate aproximativ 1000 de aparate, de tipul Linksys E1000, E1200, and E2400.
Producătorul Linksys a recunoscut că protocolul HNAP1, implementat pe routerele sale, prezintă o breşă de securitate al cărei cod de exploit poate fi găsit pe internet.
Specialiştii în securitate IT nu au identificat. în afara intenţiei de răspândire, şi o altă activitate a malware-ului, dar se presupune că există şi o procedură "call-home" prin care se raportează iniţiatorului infectarea unui nou dispozitiv.
Cum verificăm dacă router-ul pe care îl avem este vulnerabil?
Introduceţi următoarea linie de comandă (în funcţie de sistemul de operare): echo [-e] “GET /HNAP1/ HTTP/1.1rnHost: testrnrn” | nc routerip 8080
Un răspuns din partea HNAP, un fişier xml, înseamnă că
Dacă se primeşte un xml, ca răspuns din partea HNAP, router-ul este vulnerabil, şi puteţi deveni una dintre victime.
Ca măsuri de precauţie se recomandă urmărirea log-urilor porturilor 80 şi 8080, dezactivarea serviciului Remote Administration şi limitarea IP-urilor cu drepturi de admin asupra router-ului.