Un laporan rasmi de Symantec 26 November lalu, waspada akan adanya virus baru, dibaptis sebagai linux darlioz, yang dapat mempengaruhi berbagai jenis komputer, memanfaatkan kerentanan "php-cgi" (CVE-2012-1823) yang ada di PHP 5.4.3 dan 5.3.13
Kerentanan ini mempengaruhi beberapa versi pengedaran GNU / Linux seperti Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian dan lain-lain, serta Mac OS X 10.7.1 hingga 10.7.4, dan Mac OS X Server 10.6.8 hingga 10.7.3.
Walaupun kelemahan ini di PHP telah dikesan dan diperbetulkan sejak Mei 2012, terdapat banyak komputer yang masih ketinggalan zaman dan menggunakan versi lama PHP, mengakibatkan potensi sasaran jangkitan besar-besaran.
Prosedur jangkitan, seperti yang dijelaskan dalam sebuah artikel de PCWorld, adalah berikut:
Setelah dieksekusi, worm menghasilkan alamat IP secara rawak, mengakses jalan tertentu di mesin dengan ID dan kata laluan yang diketahui, dan mengirimkan permintaan HTTP POST, yang memanfaatkan kerentanan. Sekiranya kerentanan belum diperbaiki pada sasaran, worm dimuat dari pelayan yang berniat jahat dan mula mencari sasaran baru
Menurut disiarkan di blog anda oleh Kaoru hayashi, penyelidik dari Symantec, worm baru ini sepertinya dirancang untuk menjangkiti, selain komputer tradisional, pelbagai peranti yang disambungkan ke rangkaian, seperti router, set-top box, kamera keselamatan, dll., yang berfungsi pada pelbagai varian GNU / Linux.
Walaupun Symantec menilai tahap risiko virus ini sebagai "sangat rendah" dan tahap penyebaran dan ancaman sebagai "rendah" dan menganggap pembendungan dan penghapusannya "mudah", sebenarnya potensi risiko yang dilambangkannya akan berlipat ganda jika kita mengambil kira besar meningkatkan bahawa apa yang disebut "internet of things" telah didaftarkan sejak kebelakangan ini.
Sekali lagi menurut Symantec, pada masa ini penyebaran cacing hanya berlaku di antara sistem x86 kerana binari yang dimuat turun berada di ELF (Format Boleh Dilaksanakan dan Boleh Dipaut) untuk seni bina Intel, tetapi para penyelidik menunjukkan bahawa pelayan juga menjadi tuan rumah varian untuk seni bina ARM, PPC, MIPS y MIPSEL, yang sangat membimbangkan memandangkan potensi tinggi peranti dengan seni bina ini yang cenderung dijangkiti.
Sudah diketahui bahawa firmware yang disertakan dalam banyak peranti berdasarkan GNU / Linux dan biasanya merangkumi pelayan web dengan PHP untuk antara muka pentadbir.
Ini menunjukkan potensi risiko yang jauh lebih besar daripada komputer dengan sebaran GNU / Linux, kerana tidak seperti yang terakhir, mereka tidak selalu menerima kemas kini keselamatan yang diperlukan untuk memperbaiki kerentanan yang dikesan, yang ditambahkan bahawa untuk menjalankan kemas kini firmware diperlukan tahap pengetahuan teknikal tertentu, yang mana sebahagian besar pemilik peranti sedemikian.
yang cadangan untuk mengelakkan jangkitan dengan cacing ini mereka cukup sederhana: pastikan sistem kami dikemas kini dengan tampalan keselamatan yang diterbitkan dan langkah-langkah keselamatan dasar yang melampau dengan peranti yang disambungkan ke rangkaian, seperti menukar alamat IP lalai, nama pengguna dan kata laluan y pastikan firmware dikemas kini, sama ada dengan yang dikeluarkan oleh pengeluar, atau dengan setara percuma yang tersedia dari laman web yang dikenali.
Anda juga disarankan untuk memblokir permintaan POST masuk serta jenis panggilan HTTPS lain, bila memungkinkan.
Sebaliknya, mulai sekarang disarankan untuk mempertimbangkan ketika menilai pemerolehan peralatan baru, kemudahan mengemas kini firmware dan sokongan jangka panjang yang diberikan oleh pengeluar.
Buat masa ini, saya mengemas kini firmware penghala Netgear saya, yang sejak sekian lama berada dalam senarai tugas yang belum selesai, agar ia dipenuhi bahawa "di rumah tukang besi ..."
Nota: Senarai terperinci edaran GNU / Linux yang pada awalnya mengandungi kerentanan PHP dieksploitasi oleh virus ini terdapat dalam yang berikut pautan.