Un officiel rapport de Symantec 26. november sidste år, alarm om eksistensen af en ny virus, døbt som linux darlioz, som kan påvirke en lang række computere og udnytte sårbarheden "php-cgi" (CVE-2012-1823), der findes i PHP 5.4.3 og 5.3.13.
Denne sårbarhed påvirker nogle versioner af distributioner af GNU / Linux såsom Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian og andre samt Mac OS X 10.7.1 til 10.7.4 og Mac OS X Server 10.6.8 til 10.7.3.
Selv om denne sårbarhed i PHP blev registreret og rettet siden maj 2012, er mange computere stadig forældede og bruger gamle versioner af PHP, hvilket resulterer i et potentielt mål for en storstilet infektion.
Infektionsproceduren, som beskrevet i en artikel de PCWorld, er følgende:
Når den er udført, genererer ormen tilfældigt IP-adresser, der får adgang til en bestemt sti på maskinen med et kendt ID og en adgangskode og sender HTTP POST-anmodninger, som udnytter sårbarheden. Hvis sårbarheden ikke er rettet på målet, downloades ormen fra en ondsindet server og begynder at lede efter et nyt mål
Ifølge lagt ud på din blog af Kaoru hayashi, forsker af Symantecsynes denne nye orm designet at ud over traditionelle computere inficere en bred vifte af enheder, der er forbundet til netværket, såsom routere, set-top-bokse, sikkerhedskameraer osv., der fungerer på forskellige varianter af GNU / Linux.
Skønt Symantec vurderer risikoniveauet for denne virus som "meget lavt" og niveauerne af distribution og trussel som "lavt" og betragter dets indeslutning og fjernelse som "let", i virkeligheden ganges den potentielle risiko, den udgør, betydeligt, hvis vi tager højde for en betydelig stigning, som det såkaldte ”internet af ting” har været registreret i nyere tid.
En gang mere ifølge Symantec, i øjeblikket forekommer ormens spredning kun mellem x86-systemer, da den downloadede binære er i ELF (Executable and Linkable Format) til arkitektur Intel, men forskerne indikerer, at serverne også er vært for varianter til arkitekturer ARM, PPC, MIPS y MIPSEL, hvilket er meget bekymrende i betragtning af det høje potentiale for enheder med disse arkitekturer, der sandsynligvis vil blive inficeret.
Det er velkendt, at firmwaren, der er indlejret i mange enheder, er baseret på GNU / Linux og inkluderer normalt en webserver med PHP til admin-grænsefladen.
Dette medfører en potentiel risiko, der er meget større end computere med nogen distribution af GNU / Linux, da de i modsætning til sidstnævnte ikke regelmæssigt modtager de nødvendige sikkerhedsopdateringer til at korrigere de opdagede sårbarheder, hvortil det tilføjes, at for at udføre firmwareopdateringen kræves en vis grad af teknisk viden, hvilket er en god en del af ejerne af sådanne enheder.
den anbefalinger for at undgå infektion med denne orm er de ret enkle: holde vores systemer opdateret med offentliggjorte sikkerhedsrettelser og ekstreme elementære sikkerhedsforanstaltninger med enheder, der er forbundet til netværket, f.eks skift standard IP-adresse, brugernavn og adgangskode y holde firmware opdateret, enten med dem, der er frigivet af producenten, eller med de gratis ækvivalenter, der er tilgængelige fra anerkendte websteder.
Det anbefales også at blokere indgående POST-anmodninger såvel som enhver anden type HTTPS-opkald, når det er muligt.
På den anden side foreslås det fra nu af at tage højde for, når man evaluerer anskaffelsen af nyt udstyr, den lette opdatering af firmwaren og den langsigtede support, der leveres af producenten.
For øjeblikket opdaterer jeg firmwaren til min Netgear-router, som i lang tid var på listen over ventende opgaver, så ikke det blev opfyldt, at "hos smedens hus ..."
Bemærk: Den detaljerede liste over distributioner af GNU / Linux der oprindeligt indeholder sårbarheden af PHP udnyttet af denne virus er tilgængelig i det følgende link.