Un offisiell rapport de Symantec 26. november, varslet om eksistensen av et nytt virus, døpt som linux darlioz, som kan påvirke et bredt utvalg av datamaskiner, og utnytte sårbarheten "php-cgi" (CVE-2012-1823) i PHP 5.4.3 og 5.3.13.
Dette sikkerhetsproblemet påvirker noen versjoner av distribusjoner av GNU / Linux som Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian og andre, samt Mac OS X 10.7.1 til 10.7.4, og Mac OS X Server 10.6.8 til 10.7.3.
Selv om denne sårbarheten i PHP ble oppdaget og korrigert siden mai 2012, er mange datamaskiner fortsatt utdaterte og bruker gamle versjoner av PHP, noe som resulterer i et potensielt mål for en storskala infeksjon.
Infeksjonsprosedyren, som beskrevet i en artikkel de PCWorld, er følgende:
Når den er utført, genererer ormen tilfeldig IP-adresser, får tilgang til en bestemt bane på maskinen med kjent ID og passord, og sender HTTP POST-forespørsler, som utnytter sårbarheten. Hvis sårbarheten ikke er rettet mot målet, blir ormen lastet ned fra en ondsinnet server og begynner å lete etter et nytt mål.
I følge lagt ut på bloggen din av Kaoru hayashi, forsker av Symantec, ser denne nye ormen ut til å infisere, i tillegg til tradisjonelle datamaskiner, et bredt spekter av enheter som er koblet til nettverket, for eksempel rutere, set-top-bokser, sikkerhetskameraer, etc., som fungerer på forskjellige varianter av GNU / Linux.
Selv Symantec vurderer risikonivået til dette viruset som "veldig lavt" og distribusjonsnivået og trusselen som "lavt" og anser inneslutning og fjerning av det som "lett", i virkeligheten multipliseres den potensielle risikoen det betydelig hvis vi tar i betraktning øke at det såkalte “internett av ting” har blitt registrert i nyere tid.
En gang til i følge Symantec, for øyeblikket forekommer ormspredningen bare mellom x86-systemer siden den nedlastede binæren er i ELF (Executable and Linkable Format) for arkitektur Intel, men forskerne indikerer at serverne også er vert for varianter for arkitekturer ARM, PPC, MIPS y MIPSEL, som er svært bekymringsfullt gitt det høye potensialet til enheter med disse arkitekturer som sannsynligvis vil bli infisert.
Det er velkjent at firmware innebygd i mange enheter er basert på GNU / Linux og inkluderer vanligvis en webserver med PHP for administratorgrensesnittet.
Dette innebærer en potensiell risiko som er mye større enn datamaskiner med distribusjon av GNU / Linux, siden i motsetning til sistnevnte, mottar de ikke regelmessig sikkerhetsoppdateringene som er nødvendige for å rette opp sårbarhetene, som det er lagt til at for å utføre firmwareoppdateringen er det nødvendig med en viss grad av teknisk kunnskap, som en god del av eierne av slike enheter.
Las anbefalinger for å unngå smitte med denne ormen er de ganske enkle: holde systemene våre oppdatert med publiserte sikkerhetsoppdateringer og ekstreme elementære sikkerhetstiltak med enheter koblet til nettverket, som f.eks endre standard IP-adresse, brukernavn og passord y holde firmware oppdatert, enten med de som er utgitt av produsenten, eller med gratisekvivalenter tilgjengelig fra anerkjente nettsteder.
Det anbefales også å blokkere innkommende POST-forespørsler, så vel som andre typer HTTPS-samtaler, når det er mulig.
På den annen side foreslås det fra nå av å ta hensyn til når man vurderer anskaffelsen av nytt utstyr, hvor enkelt det er å oppdatere firmwaren og den langsiktige støtten fra produsenten.
For nå oppdaterer jeg firmwaren til Netgear-ruteren min, som lenge sto på listen over ventende oppgaver, for ikke å bli oppfylt at "hos smeden ..."
Merk: Den detaljerte listen over distribusjoner av GNU / Linux som opprinnelig inneholder sårbarheten til PHP utnyttet av dette viruset er tilgjengelig i det følgende link.