Un официален доклад de Symantec миналия 26 ноември, предупреждение за съществуването на нов вирус, кръстен като linux darlioz, които могат да засегнат голямо разнообразие от компютри, използвайки уязвимостта "php-cgi" (CVE-2012-1823), налична в PHP 5.4.3 и 5.3.13.
Тази уязвимост засяга някои версии на дистрибуции на GNU / Linux като Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian и други, както и Mac OS X 10.7.1 до 10.7.4 и Mac OS X Server 10.6.8 до 10.7.3.
Въпреки че тази уязвимост в PHP беше открит и коригиран от май 2012 г., много компютри все още са остарели и използват стари версии на PHP, което води до потенциална цел за мащабна инфекция.
Процедурата по заразяване, както е описана в статия de PCWorld, е следното:
След като бъде изпълнен, червеят генерира произволно IP адреси, осъществявайки достъп до определен път на машината с известни ID и парола и изпраща HTTP POST заявки, които експлоатират уязвимостта. Ако уязвимостта не е коригирана на целта, червеят се изтегля от злонамерен сървър и започва да търси нова цел
Според публикувано във вашия блог от Каору хаяши, изследовател на Symantec, този нов червей изглежда проектиран да зарази, в допълнение към традиционните компютри, широк спектър от устройства, свързани към мрежата, като рутери, телевизионни приемници, охранителни камери и т.н., които работят върху различни варианти на GNU / Linux.
Въпреки че Symantec оценява нивото на риск от този вирус като „много ниско“, а нивата на разпространение и заплаха като „ниско“ и счита неговото ограничаване и отстраняване за „лесно“, в действителност потенциалният риск, който той представлява, се умножава значително, ако вземем предвид значителните увеличават, че така нареченият „интернет на нещата“ се регистрира в последно време.
Още веднъж според Symantec, в момента разпространението на червея се случва само между x86 системи, тъй като изтегленият двоичен файл е в ELF (Изпълним и свързваем формат) за архитектура Intel, но изследователите посочват, че сървърите също така хостват варианти за архитектури ARM, PPC, MIPS y МИПСЕЛ, което е силно тревожно предвид големия потенциал на устройства с тези архитектури, които е вероятно да бъдат заразени.
Добре известно е, че вграденият в много устройства фърмуер е базиран на GNU / Linux и обикновено включва уеб сървър с PHP за администраторския интерфейс.
Това предполага потенциален риск много по-голям от този на компютрите с каквото и да е разпространение на GNU / Linux, тъй като за разлика от последните, те не получават редовно необходимите актуализации на защитата, за да коригират откритите уязвимости, към което се добавя, че за извършване на актуализацията на фърмуера се изисква известна степен на технически познания, които добра част от собствениците на такива устройства.
на препоръки за избягване на инфекция с този червей те са съвсем прости: поддържайте нашите системи актуализирани с публикувани кръпки за сигурност и екстремни елементарни мерки за сигурност с устройства, свързани към мрежата, като например промяна на IP адреса, потребителското име и паролата по подразбиране y поддържайте актуализиран фърмуер, или с тези, пуснати от производителя, или с безплатните еквиваленти, достъпни от признати сайтове.
Препоръчва се също да се блокират входящите POST заявки, както и всеки друг тип HTTPS повикване, когато е възможно.
От друга страна, занапред се препоръчва да се вземат предвид при оценката на придобиването на всяко ново оборудване, лекотата на актуализиране на фърмуера и дългосрочната поддръжка, предоставена от производителя.
Засега актуализирам фърмуера на моя рутер Netgear, който дълго време беше в списъка на чакащите задачи, за да не бъде изпълнено, че „в къщата на ковача ...“
Забележка: Подробният списък на дистрибуциите на GNU / Linux които първоначално съдържат уязвимостта на PHP експлоатиран от този вирус е наличен по-долу връзка.