Un rapporto ufficiale de Symantec lo scorso 26 novembre, allerta dell'esistenza di un nuovo virus, battezzato come linux darlioz, che può interessare un'ampia varietà di computer, sfruttando la vulnerabilità "php-cgi" (CVE-2012-1823) presente in PHP 5.4.3 e 5.3.13.
Questa vulnerabilità interessa alcune versioni di distribuzioni di GNU / Linux come Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian e altri, nonché Mac OS X da 10.7.1 a 10.7.4 e Mac OS X Server da 10.6.8 a 10.7.3.
Sebbene questa vulnerabilità in PHP è stato rilevato e corretto da maggio 2012, molti computer sono ancora obsoleti e utilizzano vecchie versioni di PHP, risultando un potenziale bersaglio per un'infezione su larga scala.
La procedura di infezione, come descritto in un articolo de PCWorld, è il seguente:
Una volta eseguito, il worm genera casualmente indirizzi IP, accedendo a un percorso specifico sulla macchina con ID e password noti, e invia richieste HTTP POST, che sfruttano la vulnerabilità. Se la vulnerabilità non è stata corretta sulla destinazione, il worm viene scaricato da un server dannoso e inizia a cercare una nuova destinazione
Secondo pubblicato sul tuo blog by Kaoru hayashi, ricercatore di Symantec, questo nuovo worm sembra progettato per infettare, oltre ai computer tradizionali, un'ampia gamma di dispositivi collegati alla rete, come router, set-top box, telecamere di sicurezza, ecc., che funzionano su varie varianti di GNU / Linux.
Sebbene Symantec valuta il livello di rischio di questo virus come "molto basso" e i livelli di distribuzione e minaccia come "basso" e considera il suo contenimento e rimozione "facile", in realtà il rischio potenziale che rappresenta si moltiplica notevolmente se si tiene conto del sostanziale aumento che la cosiddetta "internet delle cose" sta registrando negli ultimi tempi.
Ancora una volta secondo Symantec, al momento la diffusione del worm avviene solo tra sistemi x86 poiché il binario scaricato si trova nel file ELFO (Formato eseguibile e collegabile) per l'architettura Intel, ma i ricercatori indicano che i server ospitano anche varianti per le architetture ARM, PPC, MIPS y MIPSEL, il che è molto preoccupante dato l'elevato potenziale dei dispositivi con queste architetture che potrebbero essere infettati.
È noto che il firmware incorporato in molti dispositivi si basa su GNU / Linux e di solito include un server web con PHP per l'interfaccia di amministrazione.
Ciò implica un rischio potenziale molto maggiore di quello dei computer con qualsiasi distribuzione di GNU / Linux, poiché a differenza di questi ultimi, non ricevono regolarmente gli aggiornamenti di sicurezza necessari per correggere le vulnerabilità rilevate, a cui si aggiunge che per effettuare l'aggiornamento del firmware è richiesto un certo grado di conoscenza tecnica, che una buona parte dei possessori di tali dispositivi.
Le raccomandazioni per evitare l'infezione con questo worm sono abbastanza semplici: mantenere aggiornati i nostri sistemi con patch di sicurezza pubblicate e misure di sicurezza elementari estreme con dispositivi collegati alla rete, come modificare l'indirizzo IP predefinito, il nome utente e la password y mantenere aggiornato il firmware, sia con quelli rilasciati dal produttore, sia con gli equivalenti gratuiti disponibili da siti riconosciuti.
Si consiglia inoltre di bloccare le richieste POST in arrivo e qualsiasi altro tipo di chiamata HTTPS, quando possibile.
D'altra parte, d'ora in poi si suggerisce di tenere in considerazione nella valutazione dell'acquisizione di eventuali nuove apparecchiature, la facilità di aggiornamento del firmware e il supporto a lungo termine fornito dal produttore.
Per ora, sto aggiornando il firmware del mio router Netgear, che per molto tempo era nella lista delle attività in sospeso, per timore che venisse adempiuto "a casa del fabbro ..."
Nota: l'elenco dettagliato delle distribuzioni di GNU / Linux che originariamente contengono la vulnerabilità di PHP sfruttato da questo virus è disponibile di seguito link.