دودة جديدة تؤثر على جنو / لينكس أكدتها سيمانتيك

Un تقرير رسمي de سيمانتيك 26 نوفمبر الماضي ، تنبيه من وجود فيروس جديد ، عمد كما لينكس دارليوز، والتي يمكن أن تؤثر على مجموعة متنوعة من أجهزة الكمبيوتر ، وتستغل الثغرة الأمنية "php-cgi" (CVE-2012-1823) الموجودة في PHP 5.4.3 و 5.3.13.

تؤثر هذه الثغرة الأمنية على بعض إصدارات توزيعات جنو / لينكس مثل Ubuntu و TurboLinux و SuSE و Red Hat و Mandriva و Debian وغيرها ، بالإضافة إلى Mac OS X 10.7.1 حتى 10.7.4 و Mac OS X Server 10.6.8 إلى 10.7.3.

على الرغم من أن هذا الضعف في PHP تم اكتشافه وتصحيحه منذ مايو 2012 ، لا تزال العديد من أجهزة الكمبيوتر قديمة وتستخدم إصدارات قديمة من PHP، مما يؤدي إلى هدف محتمل لعدوى واسعة النطاق.

إجراء العدوى ، كما هو موضح في مقالة de إستخدام آمن، هو ما يلي:

بمجرد التنفيذ ، تقوم الدودة بإنشاء عناوين IP بشكل عشوائي ، والوصول إلى مسار محدد على الجهاز بمعرف وكلمة مرور معروفين ، وإرسال طلبات HTTP POST ، والتي تستغل الثغرة الأمنية. إذا لم يتم تصحيح الثغرة الأمنية على الهدف ، يتم تنزيل الفيروس المتنقل من خادم ضار ويبدأ في البحث عن هدف جديد

بالنسبة الى نشر على مدونتك بواسطة كاورو هاياشي، باحث سيمانتيك، يبدو أن هذه الدودة الجديدة مصممة لإصابة ، بالإضافة إلى أجهزة الكمبيوتر التقليدية ، مجموعة واسعة من الأجهزة المتصلة بالشبكة ، مثل أجهزة التوجيه ، وأجهزة فك التشفير ، وكاميرات الأمان ، وما إلى ذلك ، التي تعمل على أنواع مختلفة من جنو / لينكس.

رغم أن سيمانتيك يقيّم مستوى مخاطر هذا الفيروس بأنه "منخفض للغاية" ومستويات التوزيع والتهديد "منخفضة" ويعتبر احتوائه وإزالته "سهلًا" ، في الواقع يتضاعف الخطر المحتمل الذي يمثله بشكل كبير إذا أخذنا في الاعتبار زيادة كبيرة في تسجيل ما يسمى "إنترنت الأشياء" في الآونة الأخيرة.

مرة أخرى حسب سيمانتيك، في الوقت الحالي ، يحدث انتشار الدودة فقط بين أنظمة x86 نظرًا لأن الملف الثنائي الذي تم تنزيله موجود في ملف قزم (تنسيق قابل للتنفيذ وقابل للربط) للهندسة المعمارية إنتل، لكن الباحثين أشاروا إلى أن الخوادم تستضيف أيضًا متغيرات للبنى ARM, إعلانات الدفع مقابل النقرة, MIPS y ميبسيل، وهو أمر مقلق للغاية نظرًا للإمكانات العالية للأجهزة ذات البنيات التي من المحتمل أن تكون مصابة.

رأس ELF لنسخة من الدودة لـ ARM

رأس ELF لنسخة من الدودة لـ ARM

من المعروف أن البرامج الثابتة المضمنة في العديد من الأجهزة تعتمد على جنو / لينكس وعادةً ما يتضمن خادم ويب مع PHP لواجهة الإدارة.

هذا يعني وجود خطر محتمل أكبر بكثير من مخاطر أجهزة الكمبيوتر مع أي توزيع جنو / لينكسنظرًا لأنهم على عكس الأخير ، لا يتلقون بانتظام التحديثات الأمنية اللازمة لتصحيح الثغرات الأمنية المكتشفة ، والتي يضاف إليها أنه لتنفيذ تحديث البرنامج الثابت ، يلزم توفر درجة معينة من المعرفة التقنية ، وهو أمر جيد جزء من مالكي هذه الأجهزة.

ال توصيات لتجنب العدوى مع هذه الدودة فهي بسيطة للغاية: حافظ على أنظمتنا محدثة مع تصحيحات الأمان المنشورة وتدابير الأمان الأولية القصوى مع الأجهزة المتصلة بالشبكة ، مثل تغيير عنوان IP الافتراضي واسم المستخدم وكلمة المرور y حافظ على تحديث البرامج الثابتة، إما مع تلك الصادرة عن الشركة المصنعة ، أو مع المعادلات المجانية المتاحة من المواقع المعترف بها.

من المستحسن أيضًا حظر طلبات POST الواردة وكذلك أي نوع آخر من مكالمات HTTPS ، كلما أمكن ذلك.

من ناحية أخرى ، من الآن فصاعدًا ، يُقترح أن يؤخذ في الاعتبار عند تقييم الحصول على أي معدات جديدة ، وسهولة تحديث البرامج الثابتة والدعم طويل الأجل المقدم من الشركة المصنعة.

في الوقت الحالي ، أقوم بتحديث البرنامج الثابت لجهاز توجيه Netgear الخاص بي ، والذي كان لفترة طويلة مدرجًا في قائمة المهام المعلقة ، خشية تحقيق ذلك "في منزل الحداد ..."

ملاحظة: القائمة التفصيلية لتوزيعات جنو / لينكس التي تحتوي في الأصل على الثغرة الأمنية PHP المستغلة بواسطة هذا الفيروس متوفرة في ما يلي الصفحة .