Nou cuc que afecta GNU / Linux confirmat per Symantec

Un reporti oficial de Symantec del 26 de novembre passat, alerta de l'existència d'un nou virus, batejat com Linux Darlioz, que pot afectar una àmplia varietat d'equips, explotant la vulnerabilitat “php-cgi“ (CVE-2012-1823) present a PHP 5.4.3 i 5.3.13.

Aquesta vulnerabilitat afecta algunes versions de distribucions de GNU / Linux com Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian i altres, així com Mac OS X 10.7.1 fins a la 10.7.4, i Mac OS X Server 10.6.8 fins a la 10.7.3.

Encara que aquesta vulnerabilitat a PHP va ser detectada i corregida des de Maig de 2012, són molts els equips que encara romanen desactualitzats i utilitzen versions antigues de PHP, resultant un objectiu potencial per a una infecció a gran escala.

El procediment d'infecció, segons es descriu a un article de PCWorld, És el següent:

Un cop executat, el cuc genera aleatòriament adreces IP, accessant una ruta específica a la màquina amb una ID i contrasenya coneguda i envia sol·licituds HTTP POST, que exploten la vulnerabilitat. Si a l'objectiu no ha estat corregida la vulnerabilitat, es descarrega el cuc des d'un server maliciós i comença a buscar un nou objectiu

D'acord amb el que publicat al seu bloc per Kaoru Hayashi, Investigador de Symantec, aquest nou cuc sembla dissenyat per infectar, a més d'ordinadors tradicionals, un ampli rang de dispositius connectats a la xarxa, tals com routers, caixes descodificadores, càmeres de seguretat, etc., que funcionen sobre diverses variants de GNU / Linux.

Encara que Symantec avalua el nivell de risc d'aquest virus com a “molt baix” i els nivells de distribució i amenaça com a “baixos” i considera de “fàcil” la seva contenció i remoció, en realitat el risc potencial que representa es multiplica considerablement si tenim en compte el increment substancial que està registrant en els darrers temps l'anomenada “internet de les coses”.

Un cop més segons Symantec, de moment la difusió del cuc només es produeix entre systemes x86 ja que el binari descarregat està en format ELF (Executable and Linkable Format) per a arquitectura Intel, però els investigadors indiquen que els servidors també allotgen variants per a arquitectures ARM, PPC, Extensió MIPS y MIPSEL, el que resulta altament preocupant donat lalt potencial de dispositius amb aquestes arquitectures factibles de ser infectats.

ELF header d'una versió del cuc per a ARM

ELF header d'una versió del cuc per a ARM

És prou conegut que el firmware embegut en nombrosos dispositius està basat en GNU / Linux i inclou, en general, un servidor web amb PHP per a la interfície dadministració.

Això implica un risc potencial molt més gran que el dels ordinadors amb qualsevol distribució de GNU / Linux, ja que a diferència d'aquests últims, no reben regularment les actualitzacions de seguretat necessàries per corregir les vulnerabilitats detectades, a la qual cosa se suma a més, que per realitzar l'actualització del microprogramari es requereix cert grau de coneixements tècnics dels quals no en té una bona part dels propietaris dels dispositius.

Les recomanacions per evitar la infecció amb aquest cuc són força simples: mantenir actualitzats els nostres sistemes amb els pegats de seguretat publicats i extremar les mesures de seguretat elementals amb els dispositius connectats a la xarxa, com ara canviar ladreça IP, el nom dusuari i la contrasenya dadministrador que vénen per defecte y mantenir actualitzat el microprogramari, ja sigui amb els alliberats pel fabricant, o amb els equivalents lliures disponibles a llocs reconeguts.

També es recomana bloquejar les sol·licituds POST entrants així com qualsevol altre tipus de trucada HTTPS, sempre que sigui possible.

D'altra banda, a partir d'ara se suggereix tenir molt en compte a l'hora d'avaluar l'adquisició de qualsevol equip nou, la facilitat d'actualització del microprogramari i el suport a llarg termini brindat pel fabricant.

Jo de moment, estic actualitzant el firmware del meu router Netgear, que des de fa estona estava a la llista de tasques pendents, no fos cas que es compleixi allò que “a casa del ferrer…“

Nota: La llista detallada de les distribucions de GNU / Linux que contenen originalment la vulnerabilitat de PHP explotada per aquest virus està disponible al següent enllaç.