Un officieel rapport de Symantec afgelopen 26 november alert op het bestaan van een nieuw virus, gedoopt als linux darlioz, die een grote verscheidenheid aan computers kan treffen, waarbij gebruik wordt gemaakt van de kwetsbaarheid "php-cgi" (CVE-2012-1823) die aanwezig is in PHP 5.4.3 en 5.3.13
Deze kwetsbaarheid treft sommige versies van distributies van GNU / Linux zoals Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian en anderen, evenals Mac OS X 10.7.1 tot 10.7.4 en Mac OS X Server 10.6.8 tot 10.7.3.
Hoewel deze kwetsbaarheid in PHP werd gedetecteerd en gecorrigeerd sinds mei 2012, zijn er veel computers die nog steeds verouderd zijn en oude versies van PHP, wat resulteert in een potentieel doelwit voor een grootschalige infectie.
De infectieprocedure, zoals beschreven in een artikel de PCWorld, is de volgende:
Eenmaal uitgevoerd, genereert de worm willekeurig IP-adressen, toegang tot een specifiek pad op de machine met een bekend ID en wachtwoord, en verzendt HTTP POST-verzoeken, die misbruik maken van de kwetsbaarheid. Als de kwetsbaarheid op het doelwit niet is verholpen, wordt de worm gedownload van een kwaadwillende server en gaat op zoek naar een nieuw doelwit
Volgens gepost op je blog door Kaoru hayashi, onderzoeker van Symanteclijkt deze nieuwe worm ontworpen om, naast traditionele computers, een breed scala aan apparaten te infecteren die op het netwerk zijn aangesloten, zoals routers, settopboxen, beveiligingscamera's, enz., die werken op verschillende varianten van GNU / Linux.
Hoewel Symantec beoordeelt het risiconiveau van dit virus als "zeer laag" en het verspreidings- en dreigingsniveau als "laag" en beschouwt de insluiting en verwijdering ervan als "gemakkelijk", in werkelijkheid wordt het potentiële risico dat het vertegenwoordigt aanzienlijk vermenigvuldigd als we rekening houden met de substantiële toename van het zogenaamde "internet of things" de laatste tijd.
Nog een keer volgens Symantec, Op dit moment vindt de verspreiding van de worm alleen plaats tussen x86-systemen omdat het gedownloade binaire bestand zich in het ELF (Uitvoerbaar en koppelbaar formaat) voor architectuur Intel, maar de onderzoekers geven aan dat de servers ook varianten hosten voor architecturen ARM, PPC, MIPS y MIPSEL, wat zeer zorgwekkend is gezien het hoge potentieel van apparaten met deze architecturen die waarschijnlijk worden geïnfecteerd.
Het is bekend dat de firmware die in veel apparaten is ingebouwd, is gebaseerd op GNU / Linux en omvat doorgaans een webserver met PHP voor de admin-interface.
Dit impliceert een potentieel risico dat veel groter is dan dat van computers met een distributie van GNU / Linux, aangezien ze, in tegenstelling tot de laatste, niet regelmatig de nodige beveiligingsupdates ontvangen om de gedetecteerde kwetsbaarheden te corrigeren, waaraan wordt toegevoegd dat voor het uitvoeren van de firmware-update een zekere mate van technische kennis vereist is, die een groot deel van de eigenaren van dergelijke apparaten.
De aanbevelingen om infectie te voorkomen met deze worm zijn ze vrij simpel: houd onze systemen up-to-date met de gepubliceerde beveiligingspatches en extreme elementaire beveiligingsmaatregelen met de apparaten die op het netwerk zijn aangesloten, zoals verander standaard IP-adres, gebruikersnaam en wachtwoord y houd de firmware bijgewerkt, hetzij met degene die zijn vrijgegeven door de fabrikant, hetzij met de gratis equivalenten die verkrijgbaar zijn bij erkende sites.
Het wordt ook aanbevolen om inkomende POST-verzoeken en elk ander type HTTPS-oproep, waar mogelijk, te blokkeren.
Aan de andere kant wordt voorgesteld om vanaf nu rekening te houden bij de evaluatie van de aanschaf van nieuwe apparatuur, het gemak van het updaten van de firmware en de langdurige ondersteuning die door de fabrikant wordt geboden.
Voorlopig werk ik de firmware van mijn Netgear-router bij, die lange tijd op de lijst met lopende taken stond, opdat niet wordt voldaan dat "bij de smid ..."
Opmerking: de gedetailleerde lijst met distributies van GNU / Linux die oorspronkelijk de kwetsbaarheid van PHP misbruikt door dit virus is beschikbaar in de volgende link.