Ny orm som påvirker GNU / Linux bekreftet av Symantec

Un offisiell rapport de Symantec 26. november, varslet om eksistensen av et nytt virus, døpt som linux darlioz, som kan påvirke et bredt utvalg av datamaskiner, og utnytte sårbarheten "php-cgi" (CVE-2012-1823) i PHP 5.4.3 og 5.3.13.

Dette sikkerhetsproblemet påvirker noen versjoner av distribusjoner av GNU / Linux som Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian og andre, samt Mac OS X 10.7.1 til 10.7.4, og Mac OS X Server 10.6.8 til 10.7.3.

Selv om denne sårbarheten i PHP ble oppdaget og korrigert siden mai 2012, er mange datamaskiner fortsatt utdaterte og bruker gamle versjoner av PHP, noe som resulterer i et potensielt mål for en storskala infeksjon.

Infeksjonsprosedyren, som beskrevet i en artikkel de PCWorld, er følgende:

Når den er utført, genererer ormen tilfeldig IP-adresser, får tilgang til en bestemt bane på maskinen med kjent ID og passord, og sender HTTP POST-forespørsler, som utnytter sårbarheten. Hvis sårbarheten ikke er rettet mot målet, blir ormen lastet ned fra en ondsinnet server og begynner å lete etter et nytt mål.

I følge lagt ut på bloggen din av Kaoru hayashi, forsker av Symantec, ser denne nye ormen ut til å infisere, i tillegg til tradisjonelle datamaskiner, et bredt spekter av enheter som er koblet til nettverket, for eksempel rutere, set-top-bokser, sikkerhetskameraer, etc., som fungerer på forskjellige varianter av GNU / Linux.

Selv Symantec vurderer risikonivået til dette viruset som "veldig lavt" og distribusjonsnivået og trusselen som "lavt" og anser inneslutning og fjerning av det som "lett", i virkeligheten multipliseres den potensielle risikoen det betydelig hvis vi tar i betraktning øke at det såkalte “internett av ting” har blitt registrert i nyere tid.

En gang til i følge Symantec, for øyeblikket forekommer ormspredningen bare mellom x86-systemer siden den nedlastede binæren er i ELF (Executable and Linkable Format) for arkitektur Intel, men forskerne indikerer at serverne også er vert for varianter for arkitekturer ARM, PPC, MIPS y MIPSEL, som er svært bekymringsfullt gitt det høye potensialet til enheter med disse arkitekturer som sannsynligvis vil bli infisert.

ELF-topptekst til en versjon av ormen for ARM

ELF-topptekst til en versjon av ormen for ARM

Det er velkjent at firmware innebygd i mange enheter er basert på GNU / Linux og inkluderer vanligvis en webserver med PHP for administratorgrensesnittet.

Dette innebærer en potensiell risiko som er mye større enn datamaskiner med distribusjon av GNU / Linux, siden i motsetning til sistnevnte, mottar de ikke regelmessig sikkerhetsoppdateringene som er nødvendige for å rette opp sårbarhetene, som det er lagt til at for å utføre firmwareoppdateringen er det nødvendig med en viss grad av teknisk kunnskap, som en god del av eierne av slike enheter.

Las anbefalinger for å unngå smitte med denne ormen er de ganske enkle: holde systemene våre oppdatert med publiserte sikkerhetsoppdateringer og ekstreme elementære sikkerhetstiltak med enheter koblet til nettverket, som f.eks endre standard IP-adresse, brukernavn og passord y holde firmware oppdatert, enten med de som er utgitt av produsenten, eller med gratisekvivalenter tilgjengelig fra anerkjente nettsteder.

Det anbefales også å blokkere innkommende POST-forespørsler, så vel som andre typer HTTPS-samtaler, når det er mulig.

På den annen side foreslås det fra nå av å ta hensyn til når man vurderer anskaffelsen av nytt utstyr, hvor enkelt det er å oppdatere firmwaren og den langsiktige støtten fra produsenten.

For nå oppdaterer jeg firmwaren til Netgear-ruteren min, som lenge sto på listen over ventende oppgaver, for ikke å bli oppfylt at "hos smeden ..."

Merk: Den detaljerte listen over distribusjoner av GNU / Linux som opprinnelig inneholder sårbarheten til PHP utnyttet av dette viruset er tilgjengelig i det følgende link.