Un званични извештај de Симантец прошлог 26. новембра, упозорење о постојању новог вируса, крштеног као Линук Дарлиоз, који могу утицати на широк спектар рачунара, искоришћавајући рањивост „пхп-цги“ (ЦВЕ-2012-1823) присутну у PHP 5.4.3 и 5.3.13.
Ова рањивост утиче на неке верзије дистрибуција ГНУ / Линук као што су Убунту, ТурбоЛинук, СуСЕ, Ред Хат, Мандрива, Дебиан и други, као и Мац ОС Кс 10.7.1 до 10.7.4 и Мац ОС Кс Сервер 10.6.8 до 10.7.3.
Иако је ова рањивост у PHP откривено је и исправљено од маја 2012. године, има много рачунара који су и даље застарели и користе старе верзије PHP, што резултира потенцијалном метом за инфекцију великих размера.
Поступак инфекције, како је описано у чланак de МикроВести, је следеће:
Када се изврши, црв насумично генерише ИП адресе, приступајући одређеној путањи на машини са познатим ИД-ом и лозинком, и шаље ХТТП ПОСТ захтеве који користе рањивост. Ако рањивост није исправљена на циљу, црв се преузима са злонамерног сервера и започиње тражење новог циља
Према објављено на вашем блогу по Каору хаиасхи, истраживач Симантец, чини се да је овај нови црв дизајниран да зарази, поред традиционалних рачунара, и широк спектар уређаја повезаних на мрежу, као што су рутери, сет-топ бок уређаји, сигурносне камере итд., који раде на различитим варијантама ГНУ / Линук.
Мада Симантец процењује ниво ризика од овог вируса као „веома низак“, а нивои дистрибуције и претње као „низак“ и сматра његово сузбијање и уклањање „лаким“, у стварности се потенцијални ризик који представља знатно умножава ако узмемо у обзир значајно повећање које је такозвани „интернет ствари“ регистровао у последње време.
Још једном према Симантец, Тренутно се ширење црва догађа само између к86 система јер је преузета бинарна датотека у ЕЛФ (Извршни и повезиви формат) за архитектуру интел, али истраживачи указују да сервери такође хостују варијанте за архитектуре АРМ, ППЦ, МИПС y МИПСЕЛ, што је врло забрињавајуће с обзиром на висок потенцијал уређаја са овом архитектуром који ће вероватно бити заражени.
Добро је познато да се заснива фирмвер уграђен у многе уређаје ГНУ / Линук и обично укључује веб сервер са PHP за админ интерфејс.
То подразумева потенцијални ризик много већи од ризика рачунара са било којом дистрибуцијом ГНУ / Линук, с обзиром да за разлику од потоњих, они редовно не добијају неопходне безбедносне исправке за исправљање откривених рањивости, којима се додаје да је за спровођење ажурирања фирмвера потребан одређени степен техничког знања, што је добро део власника таквих уређаја.
Тхе препоруке за избегавање инфекције са овим црвом су прилично једноставни: редовно ажурирајте наше системе са објављеним безбедносним закрпама и екстремним основним безбедносним мерама са уређајима повезаним на мрежу, као нпр промените подразумевану ИП адресу, корисничко име и лозинку y редовно ажурирајте фирмвер, било са онима које је издао произвођач, било са бесплатним еквивалентима доступним на признатим локацијама.
Такође је препоручљиво блокирати долазне ПОСТ захтеве, као и било који други тип ХТТПС позива, кад год је то могуће.
С друге стране, од сада се предлаже да се узме у обзир приликом процене набавке било које нове опреме, лакоће ажурирања фирмвера и дугорочне подршке коју пружа произвођач.
За сада ажурирам фирмвер свог Нетгеар рутера, који се дуго налазио на листи задатака на чекању, да се не би испунило то „у кући ковача ...“
Напомена: Детаљна листа дистрибуција ГНУ / Линук који првобитно садрже рањивост PHP који користи овај вирус доступан је у следећем веза.