Un raport oficial de Symantec pe 26 noiembrie, avertizare de existența unui nou virus, numit Linux Darlioz, care poate afecta o mare varietate de calculatoare, exploatând vulnerabilitatea „php-cgi” (CVE-2012-1823) prezentă în PHP 5.4.3 și 5.3.13.
Această vulnerabilitate afectează unele versiuni ale distribuțiilor de GNU / Linux cum ar fi Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian și altele, precum și Mac OS
Deși această vulnerabilitate în PHP a fost detectat și corectat din mai 2012, există multe computere care sunt încă învechite și utilizează versiuni vechi de PHP, rezultând o țintă potențială pentru infecția pe scară largă.
Procedura de infectare, așa cum este descrisă în un articol de PCWorld, este următorul:
Odată executat, viermele generează aleatoriu adrese IP, accesând o anumită rută pe mașină cu un ID și o parolă cunoscute și trimite solicitări HTTP POST, care exploatează vulnerabilitatea. Dacă vulnerabilitatea nu a fost corectată pe țintă, viermele este descărcat de pe un server rău intenționat și începe să caute o nouă țintă.
Conform postat pe blogul dvs. de Kaoru Hayashi, cercetător al Symantec, acest nou vierme pare conceput pentru a infecta, pe lângă calculatoarele tradiționale, o gamă largă de dispozitive conectate la rețea, precum routere, cutii de decodor, camere de securitate etc., care funcționează pe diverse variante de GNU / Linux.
Deși Symantec evaluează nivelul de risc al acestui virus ca fiind „foarte scăzut”, iar nivelurile de distribuție și amenințare ca „scăzute” și consideră că reținerea și îndepărtarea acestuia sunt „ușoare”, în realitate riscul potențial pe care îl reprezintă este multiplicat considerabil dacă luăm în considerare creșterea substanțială pe care o înregistrează în ultima vreme așa-numitul „internet al lucrurilor”.
Încă o dată conform Symantec, în acest moment răspândirea viermelui are loc numai între sistemele x86, deoarece binarul descărcat este în ELF (Format executabil și conectabil) pentru arhitectură Intel, dar cercetătorii indică faptul că serverele găzduiesc și variante pentru arhitecturi ARM, PPC, Extensie MIPS y MIPSEL, ceea ce este extrem de îngrijorător, având în vedere potențialul ridicat al dispozitivelor cu aceste arhitecturi de a fi infectate.
Este bine cunoscut faptul că firmware-ul încorporat în numeroase dispozitive se bazează pe GNU / Linux și include de obicei un server web cu PHP pentru interfața de administrare.
Acest lucru prezintă un risc potențial mult mai mare decât computerele cu orice distribuție GNU / Linux, deoarece spre deosebire de acestea din urmă, nu primesc în mod regulat actualizările de securitate necesare pentru a corecta vulnerabilitățile detectate, la care mai adăugăm că actualizarea firmware-ului necesită un anumit grad de cunoștințe tehnice de care unuia bun îi lipsește. .
Las recomandări pentru evitarea infecției cu acest vierme sunt destul de simple: menține sistemele noastre actualizate cu patch-urile de securitate publicate și luați măsuri de securitate elementare extreme cu dispozitivele conectate la rețea, cum ar fi modificați adresa IP implicită, numele de utilizator și parola de administrator y mențineți firmware-ul actualizat, fie cu cele lansate de producător, fie cu echivalente gratuite disponibile pe site-uri recunoscute.
De asemenea, este recomandat să blocați solicitările POST primite, precum și orice alt tip de apeluri HTTPS, ori de câte ori este posibil.
Pe de altă parte, de acum înainte se sugerează să se țină cont atunci când se evaluează achiziția oricărui echipament nou, ușurința actualizării firmware-ului și suportul pe termen lung oferit de producător.
Deocamdată actualizez firmware-ul routerului meu Netgear, care se află de ceva vreme pe lista sarcinilor în așteptare, ca nu cumva să se adeverească zicala că „la casa fierarului...”.
Notă: Lista detaliată a distribuțiilor GNU / Linux care conţin iniţial vulnerabilitatea de PHP exploatat de acest virus este disponibil în cele ce urmează legătură.