Un דוח רשמי de סימנטק 26 בנובמבר האחרון, התראה על קיומו של נגיף חדש, שהוטבל בתור לינוקס דרליוז, שיכולים להשפיע על מגוון רחב של מחשבים, תוך ניצול הפגיעות "php-cgi" (CVE-2012-1823) הקיימת ב- PHP 5.4.3 ו- 5.3.13.
פגיעות זו משפיעה על גרסאות מסוימות של הפצות של גנו / לינוקס כמו אובונטו, TurboLinux, SuSE, Red Hat, Mandriva, Debian ואחרים, כמו גם Mac OS X 10.7.1 עד 10.7.4 ו- Mac OS X Server 10.6.8 עד 10.7.3.
למרות הפגיעות הזו ב PHP זוהה ותוקן מאז מאי 2012, מחשבים רבים עדיין מיושנים ומשתמשים בגרסאות ישנות של PHP, וכתוצאה מכך יעד פוטנציאלי לזיהום בקנה מידה גדול.
הליך ההדבקה, כמתואר ב מאמר de PCWorld, להלן:
לאחר הביצוע, התולעת מייצרת באופן אקראי כתובות IP, ניגשת לנתיב ספציפי במכונה עם מזהה וסיסמא ידועים, ושולחת בקשות HTTP POST, המנצלות את הפגיעות. אם הפגיעות לא תוקנה ביעד, התולעת מורדת משרת זדוני ומתחילה לחפש יעד חדש.
לפי פורסם בבלוג שלך ידי קאורו הייאשי, חוקר של סימנטקנראה כי תולעת חדשה זו נועדה להדביק, בנוסף למחשבים מסורתיים, מגוון רחב של מכשירים המחוברים לרשת, כמו נתבים, ממירים, מצלמות אבטחה וכו ', שעובדים על גרסאות שונות של גנו / לינוקס.
למרות סימנטק מעריכה את רמת הסיכון של נגיף זה כ"נמוכה מאוד "ואת רמות ההפצה והאיום כ"נמוכה" ורואה בהכלתו והסרתו "קלה", למעשה הסיכון הפוטנציאלי שהוא מייצג מוכפל במידה ניכרת אם ניקח בחשבון להגדיל את מה שמכונה "האינטרנט של הדברים" נרשם בתקופה האחרונה.
פעם נוספת על פי סימנטק, כרגע התפשטות התולעת מתרחשת רק בין מערכות x86 מכיוון שהבינארי שהורד נמצא ב- ELF (פורמט הפעלה וניתן לקישור) לאדריכלות אינטל, אך החוקרים מציינים כי השרתים מארחים גם גרסאות לאדריכלות זרוע, PPC, MIPS y מיפסל, מה שמדאיג מאוד לאור הפוטנציאל הגבוה של מכשירים עם ארכיטקטורות אלה שעלולים להידבק.
זה ידוע היטב שהקושחה המוטמעת במכשירים רבים מבוססת על גנו / לינוקס ובדרך כלל כולל שרת אינטרנט עם PHP עבור ממשק הניהול.
זה מרמז על סיכון פוטנציאלי גדול בהרבה מזה של מחשבים עם תפוצה כלשהי גנו / לינוקסמכיוון שבניגוד לאחרונים, הם אינם מקבלים באופן קבוע את עדכוני האבטחה הדרושים לתיקון הפגיעות שאותרו, ואליהם נוסף כי לצורך ביצוע עדכון הקושחה נדרש מידה טכנית מסוימת, שחלק טוב מבעלי מכשירים כאלה.
לאס המלצות להימנע מזיהום עם התולעת הזו הם די פשוטים: שמור על מערכות מעודכנות שלנו עם תיקוני אבטחה שפורסמו ואמצעי אבטחה אלמנטריים קיצוניים עם מכשירים המחוברים לרשת, כגון שנה את כתובת ה- IP, שם המשתמש והסיסמה המוגדרים כברירת מחדל y שמור על עדכון הקושחה, עם אלה ששוחררו על ידי היצרן, או עם המקבילות החינמיות הקיימות באתרים מוכרים.
מומלץ גם לחסום בקשות POST נכנסות וכן כל סוג אחר של שיחות HTTPS, במידת האפשר.
מצד שני, מעתה מוצע לקחת בחשבון בעת הערכת רכישת ציוד חדש כלשהו, קלות עדכון הקושחה והתמיכה ארוכת הטווח שמספק היצרן.
לעת עתה, אני מעדכן את הקושחה של הנתב של Netgear שלי, שבמשך זמן רב היה ברשימת המשימות הממתינות, שמא יתגשם כי "בבית הנפח ..."
הערה: רשימת ההפצות המפורטת של גנו / לינוקס שמכילים במקור את הפגיעות של PHP מנוצל על ידי וירוס זה זמין להלן קישור.