Nowy robak wpływający na GNU / Linux potwierdzony przez firmę Symantec

Un Oficjalny raport de Symantec z 26 listopada ubiegłego roku, ostrzegając o istnieniu nowego wirusa, ochrzczonego jako linux darlioz, który może mieć wpływ na wiele różnych komputerów, wykorzystując lukę „php-cgi” (CVE-2012-1823) obecną w PHP 5.4.3 i 5.3.13.

Ta luka dotyczy niektórych wersji dystrybucji programu GNU / Linux takie jak Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian i inne, a także Mac OS X w wersjach od 10.7.1 do 10.7.4 oraz Mac OS X Server w wersjach od 10.6.8 do 10.7.3.

Chociaż ta luka w PHP został wykryty i naprawiony od maja 2012 roku, istnieje wiele komputerów, które są nadal przestarzałe i używają starych wersji PHP, co stanowi potencjalny cel infekcji na dużą skalę.

Procedura infekcji, jak opisano w artykuł de PCWorldjest następująca:

Po uruchomieniu robak losowo generuje adresy IP, uzyskując dostęp do określonej ścieżki na komputerze ze znanym identyfikatorem i hasłem oraz wysyła żądania HTTP POST, które wykorzystują lukę. Jeśli cel nie został załatany, robak jest pobierany ze szkodliwego serwera i zaczyna szukać nowego celu.

Według zamieścił na swoim blogu przez Kaoru Hayashi, badacz ds Symantec, ten nowy robak wydaje się być przeznaczony do infekowania, oprócz tradycyjnych komputerów, szerokiej gamy urządzeń podłączonych do sieci, takich jak routery, dekodery, kamery bezpieczeństwa itp., które działają na różnych wariantach GNU / Linux.

Chociaż Symantec ocenia poziom ryzyka tego wirusa jako „bardzo niski”, a poziomy dystrybucji i zagrożenia jako „niski” oraz uważa, że ​​jego powstrzymanie i usunięcie jest „łatwe”. W rzeczywistości potencjalne ryzyko, jakie reprezentuje, jest znacznie zwielokrotnione, jeśli weźmiemy pod uwagę znaczny wzrost, jaki odnotowuje w ostatnim czasie tak zwany „internet rzeczy”.

Jeszcze raz wg Symantec, w tej chwili robak rozprzestrzenia się tylko między systemami x86, ponieważ pobrany plik binarny jest w formacie ELF (format wykonywalny i możliwy do połączenia) dla architektury Intel, ale badacze wskazują, że serwery obsługują również warianty architektur ARM, PPC, MIPS y MIPSEL, co jest bardzo niepokojące, biorąc pod uwagę wysoki potencjał urządzeń o tej architekturze, które mogą zostać zainfekowane.

Nagłówek ELF wersji robaka dla ARM

Nagłówek ELF wersji robaka dla ARM

Powszechnie wiadomo, że oprogramowanie wbudowane w wiele urządzeń jest oparte na GNU / Linux i zwykle zawiera serwer WWW z PHP dla interfejsu administratora.

Oznacza to potencjalne ryzyko znacznie większe niż w przypadku komputerów z jakąkolwiek dystrybucją GNU / Linux, ponieważ w przeciwieństwie do tych ostatnich nie otrzymują regularnie aktualizacji zabezpieczeń niezbędnych do naprawienia wykrytych luk, do czego dodaje się dodatkowo, że do przeprowadzenia aktualizacji oprogramowania układowego wymagany jest pewien poziom wiedzy technicznej, której brakuje znacznej części właścicieli wspomnianych urządzeń.

Te zalecenia, aby uniknąć infekcji z tym robakiem są one dość proste: aktualizować nasze systemy z opublikowanymi poprawkami bezpieczeństwa i podejmować ekstremalne środki bezpieczeństwa z urządzeniami podłączonymi do sieci, takimi jak zmień domyślny adres IP administratora, nazwę użytkownika i hasło y aktualizuj oprogramowanie układowe, albo z wersjami udostępnionymi przez producenta, albo z bezpłatnymi odpowiednikami dostępnymi w uznanych witrynach.

Zaleca się również blokowanie przychodzących żądań POST, jak również wszelkich innych typów wywołań HTTPS, gdy tylko jest to możliwe.

Z drugiej strony, od teraz sugeruje się, aby przy ocenie zakupu nowego sprzętu brać pod uwagę łatwość aktualizacji oprogramowania oraz wieloletnie wsparcie ze strony producenta.

Na razie aktualizuję firmware mojego routera Netgear, który od jakiegoś czasu widniał na liście rzeczy do zrobienia, żeby to "u kowala..." się nie spełniło.

Uwaga: Szczegółowa lista dystrybucji GNU / Linux które pierwotnie zawierały lukę PHP wykorzystywany przez tego wirusa jest dostępny pod następującym adresem link.