Un hivatalos jelentés de Symantec tavaly november 26-án, egy új vírus létére figyelmeztetett, linux darlioz, amely számos számítógépet érinthet, kihasználva a "php-cgi" (CVE-2012-1823) biztonsági rést PHP 5.4.3. és 5.3.13. ábra.
Ez a biztonsági rés érinti a GNU / Linux mint például az Ubuntu, a TurboLinux, a SuSE, a Red Hat, a Mandriva, a Debian és mások, valamint a Mac OS X 10.7.1–10.7.4 és a Mac OS X Server 10.6.8–10.7.3.
Bár ez a sérülékenység a PHP 2012 májusa óta észlelték és kijavították, sok számítógép még mindig elavult és a PHP, ami egy nagyszabású fertőzés potenciális célpontját eredményezi.
A fertőzési eljárás, a egy cikket de PCWorld, a következő:
A féreg végrehajtása után véletlenszerűen generál IP-címeket, ismert azonosítóval és jelszóval elérve a gép adott elérési útját, és HTTP POST kéréseket küld, amelyek kihasználják a biztonsági rést. Ha a biztonsági rést nem javították ki a célponton, a féreg letöltődik egy rosszindulatú szerverről, és új célt keres.
Alapján közzétette a blogján által Kaoru hayashikutatója Symantec, úgy tűnik, hogy ez az új féreg a hagyományos számítógépek mellett megfertőzi a hálózathoz csatlakoztatott eszközök széles skáláját, például útválasztókat, set-top boxokat, biztonsági kamerákat stb., amelyek a GNU / Linux.
Bár Symantec a vírus kockázati szintjét "nagyon alacsonynak", a megoszlás és a fenyegetés szintjét pedig "alacsonynak" értékeli, és a fertőzését és eltávolítását "könnyűnek" tartja, a valóságban az általa képviselt potenciális kockázat jelentősen megsokszorozódik, ha figyelembe vesszük a vírus jelentős kockázatát. növekszik, hogy az úgynevezett „tárgyak internete” az utóbbi időben regisztrálódik.
Szerint még egyszer Symantec, jelenleg a féreg terjedése csak az x86 rendszerek között fordul elő, mivel a letöltött bináris fájl a ELF (Futtatható és összekapcsolható formátum) az architektúrához Intel, de a kutatók jelzik, hogy a szerverek az architektúrák variánsait is tárolják ARM, PPC, MIPS y MIPSEL, ami nagyon aggasztó, tekintettel az ilyen architektúrájú, valószínűleg fertőzött eszközök nagy potenciáljára.
Köztudott, hogy a sok eszközbe ágyazott firmware alapja GNU / Linux és általában webszervert tartalmaz a PHP az admin felülethez.
Ez sokkal nagyobb potenciális kockázatot jelent, mint azok a számítógépek, amelyeknél bármilyen terjesztés van GNU / Linux, mivel ez utóbbiaktól eltérően nem kapják meg rendszeresen a feltárt sebezhetőségek kijavításához szükséges biztonsági frissítéseket, amelyhez hozzáteszik, hogy a firmware frissítés végrehajtásához bizonyos fokú műszaki ismeretekre van szükség, amelyekre a tulajdonosok jó része olyan eszközök.
az ajánlások a fertőzés elkerülésére ezzel a féreggel meglehetősen egyszerűek: naprakészen tartsa rendszereinket közzétett biztonsági javításokkal és szélsőséges elemi biztonsági intézkedésekkel a hálózathoz csatlakoztatott eszközökkel, mint pl módosítsa az alapértelmezett IP-címet, felhasználónévet és jelszót y folyamatosan frissítse a firmware-t, vagy a gyártó által kiadott termékekkel, vagy az elismert telephelyeken elérhető ingyenes megfelelőivel.
Javasoljuk továbbá a bejövő POST kérések és minden más típusú HTTPS hívás blokkolását, amikor csak lehetséges.
Másrészről mostantól azt javasoljuk, hogy vegye figyelembe az új berendezések beszerzésének, a firmware frissítésének egyszerűségét és a gyártó által nyújtott hosszú távú támogatást.
Egyelőre frissítem Netgear routerem firmware-jét, amely sokáig a függőben lévő feladatok listáján szerepelt, nehogy teljesüljön, hogy "a kovács házában ..."
Megjegyzés: A GNU / Linux amelyek eredetileg tartalmazzák a PHP által a következő vírus által kihasznált link.