หนอนดวงจันทร์มุ่งเป้าหมายไปที่เราเตอร์ในบ้านเราเตอร์

เวิร์มที่จำลองแบบตัวเองใช้ประโยชน์จากช่องโหว่การตรวจสอบความถูกต้องใน Linksys home และเราเตอร์ธุรกิจขนาดเล็ก หากคุณมีหนึ่งในเราเตอร์ E-Series คุณมีความเสี่ยง

เวิร์มนั้นถูกขนานนามว่า "The Moon" เนื่องจากการอ้างอิงทางจันทรคติในรหัสของมันไม่ได้ทำอะไรมากไปกว่าการสแกนหาเราเตอร์ที่มีช่องโหว่อื่น ๆ และสร้างสำเนาของตัวเอง ยังไม่ชัดเจนในเวลานี้ว่า payload คืออะไรหรือกำลังรับคำสั่งจากเซิร์ฟเวอร์คำสั่งและการควบคุม

"ณ จุดนี้เราตระหนักดีว่าเวิร์มที่แพร่กระจายในเราเตอร์ Linksys รุ่นต่างๆ" Johannes Ullrich หัวหน้าเจ้าหน้าที่เทคโนโลยีของ SANS เขียนในบล็อกโพสต์ "เราไม่มีรายการที่แน่นอนของเราเตอร์ที่มีช่องโหว่ แต่เราเตอร์ต่อไปนี้อาจมีช่องโหว่ขึ้นอยู่กับเวอร์ชั่นของเฟิร์มแวร์: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900" มีรายงานว่า E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT320N, WRT160N และ WRT150N เราเตอร์ก็มีช่องโหว่เช่นกัน

"Linksys ตระหนักถึงมัลแวร์ที่เรียกว่า The Moon ซึ่งได้รับผลกระทบเลือกเราเตอร์ Linksys E-series รุ่นเก่าและเลือกจุดเชื่อมต่อและเราเตอร์ Wireless-N รุ่นเก่า" Belkin บริษัท ที่ซื้อแบรนด์ Linksys จาก Cisco เมื่อปีที่แล้ว เสา มีการวางแผนแก้ไขเฟิร์มแวร์ แต่ไม่มีตารางเวลาที่เฉพาะเจาะจงในเวลานี้

การโจมตีของดวงจันทร์

หนอนบนดวงจันทร์เชื่อมต่อกับพอร์ต 8080 และใช้เราเตอร์ที่มีช่องโหว่และใช้ Home Network Administration Protocol (HNAP) เพื่อระบุยี่ห้อและเฟิร์มแวร์ของเราเตอร์ที่ถูกบุกรุก จากนั้นจะใช้ประโยชน์จากสคริปต์ CGI เพื่อเข้าถึงเราเตอร์โดยไม่ต้องมีการตรวจสอบและสแกนหาช่องโหว่อื่น ๆ SANS ประมาณกว่า 1, 000 เราเตอร์ Linksys ได้ติดเชื้อแล้ว

หลักฐานการกำหนดแนวคิดการกำหนดช่องโหว่ในสคริปต์ CGI ได้รับการเผยแพร่แล้ว

“ มีช่วง IP ที่แตกต่างกันประมาณ 670 รายการซึ่งจะสแกนหาเราเตอร์อื่น ๆ พวกมันดูเหมือนจะเป็นของเคเบิลโมเด็มและ DSL ISP ที่แตกต่างกันพวกมันมีการกระจายไปทั่วโลกบ้าง” Ullrich กล่าว

หากคุณสังเกตเห็นการสแกนขาออกอย่างหนักในพอร์ต 80 และ 8080 และการเชื่อมต่อขาเข้าบนพอร์ตเบ็ดเตล็ดต่ำกว่า 1024 แสดงว่าคุณติดเชื้อแล้ว ถ้าคุณ ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ n วิธี: ทดสอบ \ r \ n \ r \ n" 'nc routerip 8080 และรับ XML HNAP เอาท์พุทคุณอาจมีเราเตอร์ที่มีช่องโหว่ "Ullrich กล่าว

ป้องกันกับดวงจันทร์

หากคุณมีหนึ่งในเราเตอร์ที่มีช่องโหว่มีขั้นตอนไม่กี่ขั้นตอนที่คุณสามารถทำได้ ก่อนอื่นเราจะไม่เปิดเผยเราเตอร์ที่ไม่ได้กำหนดค่าสำหรับการดูแลระบบระยะไกล ดังนั้นหากคุณไม่ต้องการการดูแลระยะไกลให้ปิดการเข้าถึงการจัดการระยะไกลจากอินเทอร์เฟซผู้ดูแลระบบ

หากคุณต้องการการดูแลระยะไกลให้ จำกัด การเข้าถึงส่วนต่อประสานผู้ดูแลระบบด้วยที่อยู่ IP เพื่อให้เวิร์มไม่สามารถเข้าถึงเราเตอร์ได้ คุณยังสามารถเปิดใช้งานตัวกรองอินเทอร์เน็ตที่ไม่ระบุชื่อที่ร้องขอได้ภายใต้แท็บการบริหารความปลอดภัย เนื่องจากเวิร์มแพร่กระจายผ่านพอร์ต 80 และ 8080 การเปลี่ยนพอร์ตสำหรับส่วนต่อประสานผู้ดูแลระบบจะทำให้เวิร์มหาเราเตอร์ได้ยากขึ้น Ullrich กล่าว

เราเตอร์ในบ้านเป็นเป้าหมายการโจมตีที่ได้รับความนิยมเนื่องจากโดยทั่วไปแล้วจะเป็นรุ่นเก่ากว่าและผู้ใช้โดยทั่วไปจะไม่ได้รับการอัปเดตเฟิร์มแวร์ ตัวอย่างเช่นอาชญากรไซเบอร์ได้เจาะเข้าสู่เราเตอร์ในบ้านและเปลี่ยนการตั้งค่า DNS เพื่อดักจับข้อมูลที่ส่งไปยังเว็บไซต์ธนาคารออนไลน์ตามคำเตือนเมื่อต้นเดือนที่ผ่านมาจากทีมรับมือเหตุฉุกเฉินคอมพิวเตอร์โปแลนด์ (CERT Polska)

Belkin ยังแนะนำให้อัปเดตเฟิร์มแวร์ล่าสุดเพื่อเชื่อมต่อปัญหาอื่น ๆ ที่อาจไม่ตรงกัน