Un официальный отчет de Symantec 26 ноября прошлого года, оповещение о существовании нового вируса, названного Linux Дарлиоз, который может повлиять на широкий спектр компьютеров, используя уязвимость "php-cgi" (CVE-2012-1823), присутствующую в PHP 5.4.3 и 5.3.13.
Эта уязвимость затрагивает некоторые версии дистрибутивов GNU / Linux такие как Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian и другие, а также Mac OS X 10.7.1–10.7.4 и Mac OS X Server 10.6.8–10.7.3.
Хотя эта уязвимость в PHP был обнаружен и исправлен с мая 2012 года, многие компьютеры все еще устарели и используют старые версии PHP, что становится потенциальной целью для крупномасштабного заражения.
Процедура заражения, описанная в статья de PCWorld, это следующее:
После запуска червь случайным образом генерирует IP-адреса, обращаясь к определенному пути на машине с известным идентификатором и паролем, и отправляет запросы HTTP POST, которые используют уязвимость. Если уязвимость на цели не исправлена, червь загружается с вредоносного сервера и начинает поиск новой цели.
В соответствии с опубликовано в вашем блоге по Каору хаяши, исследователь SymantecЭтот новый червь, похоже, предназначен для заражения, помимо традиционных компьютеров, широкого спектра устройств, подключенных к сети, таких как маршрутизаторы, телевизионные приставки, камеры видеонаблюдения и т. Д., Которые работают с различными вариантами GNU / Linux.
Хотя Symantec оценивает уровень риска этого вируса как «очень низкий», а уровни распространения и угрозы как «низкие» и считает его сдерживание и удаление «легким», в действительности потенциальный риск, который он представляет, значительно увеличивается, если мы принимаем во внимание значительный рост, который регистрирует так называемый «Интернет вещей» в последнее время.
Еще раз согласно Symantec, на данный момент червь распространяется только между системами x86, поскольку загруженный двоичный файл находится в ELF (Executable and Linkable Format) для архитектуры Intel, но исследователи указывают, что на серверах также размещаются варианты для архитектур ARM, Перфоманс, MIPS y МИПСЕЛЬ, что вызывает серьезное беспокойство, учитывая высокий потенциал устройств с такой архитектурой, которые могут быть заражены.
Хорошо известно, что встроенное ПО многих устройств основано на GNU / Linux и обычно включает веб-сервер с PHP для интерфейса администратора.
Это подразумевает потенциальный риск намного больший, чем у компьютеров с любым распределением GNU / Linux, поскольку, в отличие от последних, они не получают регулярно обновления безопасности, необходимые для исправления обнаруженных уязвимостей, к чему добавляется, что для выполнения обновления прошивки требуется определенная степень технических знаний, что хорошо часть владельцев таких устройств.
Лас- рекомендации, чтобы избежать заражения с этим червем они довольно просты: обновляйте наши системы с опубликованными исправлениями безопасности и крайними элементарными мерами безопасности с устройствами, подключенными к сети, такими как изменить IP-адрес по умолчанию, имя пользователя и пароль y обновлять прошивкулибо с выпущенными производителем, либо с бесплатными эквивалентами, доступными на признанных сайтах.
Также рекомендуется по возможности блокировать входящие запросы POST, а также любые другие типы вызовов HTTPS.
С другой стороны, отныне предлагается учитывать при оценке приобретения любого нового оборудования простоту обновления прошивки и долгосрочную поддержку со стороны производителя.
А пока я обновляю прошивку своего роутера Netgear, который долгое время был в списке незавершенных задач, дабы не выполнится, что «в доме кузнеца ...»
Примечание: подробный список раздач GNU / Linux которые изначально содержат уязвимость PHP эксплуатируемые этим вирусом доступны в следующих ссылке.