Un 공식 보고서 de 시만텍 26월 XNUMX일, 새로운 바이러스의 존재에 대한 경고, 리눅스 달리오즈에 존재하는 "php-cgi" 취약점(CVE-2012-1823)을 악용하여 다양한 컴퓨터에 영향을 줄 수 있습니다. PHP 5.4.3와 5.3.13.
이 취약점은 일부 버전의 배포판에 영향을 미칩니다. GNU / 리눅스 Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian 등과 Mac OS X 10.7.1 ~ 10.7.4 및 Mac OS X Server 10.6.8 ~ 10.7.3.
이 취약점은 PHP 2012년 XNUMX월 이후로 탐지되어 수정되어 아직 구버전의 PHP, 대규모 감염의 잠재적인 대상이 됩니다.
에 설명된 대로 감염 절차 기사 de 피씨 월드은 다음과 같습니다.
일단 실행되면 이 웜은 임의로 IP 주소를 생성하고 알려진 ID와 암호로 시스템의 특정 경로에 액세스한 후 취약점을 악용하는 HTTP POST 요청을 보냅니다. 대상이 패치되지 않은 경우 악성 서버에서 웜을 다운로드하고 새로운 대상을 찾기 시작합니다.
에 따르면 자신의 블로그에 올린 로 하야시 카오루, 연구원 시만텍, 이 새로운 웜은 기존 컴퓨터 외에도 다양한 변종에서 작동하는 라우터, 디코더 박스, 보안 카메라 등과 같이 네트워크에 연결된 광범위한 장치를 감염시키도록 설계된 것으로 보입니다. GNU / 리눅스.
이기는하지만 시만텍 는 이 바이러스의 위험 수준을 "매우 낮음"으로, 배포 및 위협 수준을 "낮음"으로 평가하고 격리 및 제거가 "쉬움"으로 간주합니다. 실제로 소위 "사물 인터넷"이 최근 등록된 상당한 증가를 고려하면 잠재적 위험이 상당히 배가됩니다.
에 따라 다시 한번 시만텍, 현재로서는 다운로드된 바이너리가 형식이기 때문에 웜의 확산은 x86 시스템 간에만 발생합니다. 꼬마 요정 (실행 가능 및 링크 가능 형식) 아키텍처용 인텔, 그러나 연구원들은 서버가 아키텍처에 대한 변종도 호스팅한다고 나타냅니다. ARM, PPC, MIPS y 밉셀, 감염될 수 있는 이러한 아키텍처를 가진 장치의 높은 가능성을 고려할 때 매우 걱정됩니다.
많은 장치에 내장된 펌웨어는 다음을 기반으로 한다는 것은 잘 알려져 있습니다. GNU / 리눅스 일반적으로 다음과 같은 웹 서버를 포함합니다. PHP 관리자 인터페이스용.
이것은 어떤 분포를 가진 컴퓨터보다 훨씬 더 큰 잠재적 위험을 의미합니다. GNU / 리눅스, 후자와 달리 감지된 취약점을 수정하는 데 필요한 보안 업데이트를 정기적으로 받지 못하기 때문에 펌웨어 업데이트를 수행하려면 어느 정도의 기술 지식이 필요하다는 사실이 추가됩니다. 이는 해당 장치 소유자의 상당 부분이 부족합니다.
라스 감염을 피하기 위한 권장 사항 이 웜을 사용하면 매우 간단합니다. 시스템을 최신 상태로 유지 게시된 보안 패치를 사용하고 네트워크에 연결된 장치에 대해 다음과 같은 극단적인 보안 조치를 취합니다. 기본 관리자 IP 주소, 사용자 이름 및 비밀번호 변경 y 펌웨어 업데이트 유지, 제조업체에서 출시한 제품 또는 인정된 사이트에서 사용할 수 있는 무료 등가물을 사용합니다.
또한 가능한 한 들어오는 POST 요청과 다른 유형의 HTTPS 호출을 차단하는 것이 좋습니다.
한편, 지금부터는 새로운 장비 구입을 평가할 때 펌웨어 업데이트의 용이성 및 제조업체가 제공하는 장기 지원을 고려하는 것이 좋습니다.
지금은 "대장장이의 집에서..."가 실현되지 않도록 한동안 할 일 목록에 있던 내 Netgear 라우터의 펌웨어를 업데이트하고 있습니다.
참고: 자세한 분포 목록은 GNU / 리눅스 원래 취약점을 포함하는 PHP 이 바이러스에 의해 악용되는 것은 다음에서 사용할 수 있습니다 링크.