Symantec vahvisti uuden GNU / Linuxiin vaikuttavan maton

Un virallinen raportti de Symantec viime marraskuussa 26, hälytys uuden viruksen olemassaolosta, joka kastettiin nimellä linux darlioz, joka voi vaikuttaa moniin erilaisiin tietokoneisiin hyödyntämällä "php-cgi" (CVE-2012-1823) -heikkoutta PHP 5.4.3 ja 5.3.13.

Tämä heikkous vaikuttaa joihinkin versioihin GNU / Linux kuten Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian ja muut, samoin kuin Mac OS X 10.7.1 - 10.7.4 ja Mac OS X Server 10.6.8 - 10.7.3.

Vaikka tämä haavoittuvuus PHP on havaittu ja korjattu toukokuun 2012 jälkeen, on monia tietokoneita, jotka ovat edelleen vanhentuneita ja käyttävät vanhoja versioita PHP, mikä johtaa potentiaaliseen laaja-alaiseen infektioon.

Infektiomenettely, kuten on kuvattu artikkeli de PCWorld, on seuraava:

Suoritettuaan mato luo satunnaisesti IP-osoitteet ja käyttää tietyn polun koneella tunnetulla tunnuksella ja salasanalla ja lähettää HTTP POST -pyynnöt, jotka hyödyntävät haavoittuvuutta. Jos haavoittuvuutta ei ole korjattu kohteessa, mato ladataan haitalliselta palvelimelta ja alkaa etsiä uutta kohdetta

Mukaan lähetetty blogiisi mukaan Kaoru hayashi, tutkija Symantec, tämä uusi mato näyttää olevan suunniteltu tartuttamaan perinteisten tietokoneiden lisäksi laaja valikoima verkkoon liitettyjä laitteita, kuten reitittimet, digiboksit, valvontakamerat, jne., jotka toimivat useilla muunnelmilla. GNU / Linux.

Vaikka Symantec arvioi tämän viruksen riskitason "erittäin matalaksi" ja leviämisen ja uhan tason "alhaiseksi" ja pitää sen rajoittamista ja poistamista "helppona", todellisuudessa sen mahdollinen riski lisääntyy huomattavasti, jos otamme huomioon merkittävä lisäys, että niin kutsuttu "esineiden internet" on rekisteröity viime aikoina.

Vielä yksi kerta mukaan Symantec, Tällä hetkellä mato leviää vain x86-järjestelmien välillä, koska ladattu binääri on ELF (Suoritettava ja linkitettävä muoto) arkkitehtuurille Intel, mutta tutkijat ilmoittavat, että palvelimet isännöivät myös muunnelmia arkkitehtuureille ARM, PPC, MIPS y MIPSEL, mikä on erittäin huolestuttavaa, kun otetaan huomioon, että näillä arkkitehtuureilla on todennäköisesti tartunnan saaneiden laitteiden suuri potentiaali.

ARF-mato-version ELF-otsikko

ARF-mato-version ELF-otsikko

On tunnettua, että moniin laitteisiin upotettu laiteohjelmisto perustuu GNU / Linux ja sisältää tyypillisesti verkkopalvelimen kanssa PHP järjestelmänvalvojan käyttöliittymälle.

Tämä merkitsee potentiaalista riskiä, ​​joka on paljon suurempi kuin tietokoneilla, joilla on mitään jakelua GNU / Linux, koska toisin kuin viimeksi mainitut, he eivät saa säännöllisesti tarvittavia tietoturvapäivityksiä havaittujen haavoittuvuuksien korjaamiseksi, minkä lisäksi lisätään, että laiteohjelmistopäivityksen suorittaminen edellyttää tietynasteista teknistä tietoa, mikä on hyvä osa tällaisten laitteiden omistajista.

Las suosituksia infektioiden välttämiseksi tämän maton kanssa ne ovat melko yksinkertaisia: Pidä järjestelmämme ajan tasalla julkaistujen tietoturvakorjausten ja äärimmäisten turvallisuustoimenpiteiden kanssa verkkoon liitetyissä laitteissa, kuten muuta oletus-IP-osoitetta, käyttäjänimeä ja salasanaa y pidä laiteohjelmisto ajan tasallajoko valmistajan julkaisemien tai tunnetuilta sivustoilta saatavien ilmaisten vastaavien kanssa.

On myös suositeltavaa estää saapuvat POST-pyynnöt ja minkä tahansa muun tyyppiset HTTPS-puhelut aina kun mahdollista.

Toisaalta tästä lähtien on suositeltavaa ottaa huomioon arvioitaessa uusien laitteiden hankintaa, laiteohjelmiston päivittämisen helppoutta ja valmistajan tarjoamaa pitkäaikaista tukea.

Toistaiseksi olen päivittämässä Netgear-reitittimen laiteohjelmistoa, joka on ollut pitkään odottavien tehtävien luettelossa, ettei "sepän talossa ..."

Huomaa: Yksityiskohtainen luettelo GNU / Linux jotka alun perin sisältävät PHP tämän viruksen hyödyntämä on saatavana seuraavassa linkkiä.


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.