Un Rapport officiel de Symantec le 26 novembre dernier, alerte de l'existence d'un nouveau virus, baptisé linux darlioz, qui peut affecter une grande variété d'ordinateurs, exploitant la vulnérabilité "php-cgi" (CVE-2012-1823) présente dans PHP 5.4.3 et 5.3.13.
Cette vulnérabilité affecte certaines versions de distributions de GNU / Linux tels que Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian et autres, ainsi que Mac OS X 10.7.1 à 10.7.4 et Mac OS X Server 10.6.8 à 10.7.3.
Bien que cette vulnérabilité dans PHP a été détecté et corrigé depuis mai 2012, de nombreux ordinateurs sont toujours obsolètes et utilisent d'anciennes versions de PHP, résultant en une cible potentielle pour une infection à grande échelle.
La procédure d'infection, comme décrit dans un article de PC World, est le suivant:
Une fois exécuté, le ver génère de manière aléatoire des adresses IP, accède à un chemin spécifique sur la machine avec un identifiant et un mot de passe connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité. Si la vulnérabilité n'a pas été corrigée sur la cible, le ver est téléchargé depuis un serveur malveillant et commence à rechercher une nouvelle cible
Selon posté sur votre blog par Kaoru hayashi, chercheur de Symantec, ce nouveau ver semble conçu pour infecter, en plus des ordinateurs traditionnels, une large gamme d'appareils connectés au réseau, tels que les routeurs, les décodeurs, les caméras de sécurité, etc., qui fonctionnent sur diverses variantes de GNU / Linux.
Bien que Symantec évalue le niveau de risque de ce virus comme «très faible» et les niveaux de distribution et de menace comme «faibles» et considère son confinement et son élimination «faciles», en réalité le risque potentiel qu'il représente est considérablement multiplié si l'on augmentation substantielle enregistrée récemment par le soi-disant «Internet des objets».
Une fois de plus selon Symantec, pour le moment, la propagation du ver se produit uniquement entre les systèmes x86 puisque le binaire téléchargé est dans le ELFE (Executable and Linkable Format) pour l'architecture Intel, mais les chercheurs indiquent que les serveurs hébergent également des variantes d'architectures BRAS, PPC, MIPS y MIPSEL, ce qui est très inquiétant compte tenu du fort potentiel des appareils dotés de ces architectures susceptibles d'être infectés.
Il est bien connu que le firmware intégré dans de nombreux appareils est basé sur GNU / Linux et comprend généralement un serveur Web avec PHP pour l'interface d'administration.
Cela implique un risque potentiel bien supérieur à celui des ordinateurs avec une distribution de GNU / Linux, car contrairement à ces derniers, ils ne reçoivent pas régulièrement les mises à jour de sécurité nécessaires pour corriger les vulnérabilités détectées, auxquels s'ajoute que pour effectuer la mise à jour du firmware un certain degré de connaissances techniques est nécessaire, ce qui une partie des propriétaires de tels appareils.
Les recommandations pour éviter l'infection avec ce ver, ils sont assez simples: garder nos systèmes à jour avec des correctifs de sécurité publiés et des mesures de sécurité élémentaires extrêmes avec des appareils connectés au réseau, tels que changer l'adresse IP, le nom d'utilisateur et le mot de passe par défaut y garder le firmware à jour, soit avec ceux diffusés par le fabricant, soit avec les équivalents gratuits disponibles sur les sites reconnus.
Il est également recommandé de bloquer les requêtes POST entrantes ainsi que tout autre type d'appel HTTPS, dans la mesure du possible.
D'autre part, il est désormais suggéré de prendre en compte lors de l'évaluation de l'acquisition de tout nouvel équipement, la facilité de mise à jour du firmware et le support à long terme fourni par le fabricant.
Pour l'instant, je mets à jour le firmware de mon routeur Netgear, qui pendant longtemps figurait sur la liste des tâches en attente, de peur qu'il ne se réalise que "chez le forgeron ..."
Remarque: la liste détaillée des distributions de GNU / Linux qui contiennent à l'origine la vulnérabilité de PHP exploité par ce virus est disponible dans les lien.