Ny mask som påverkar GNU / Linux bekräftad av Symantec

Un officiell rapport de Symantec den 26 november, varning för förekomsten av ett nytt virus, döpt som linux darlioz, som kan påverka en mängd olika datorer, genom att utnyttja sårbarheten "php-cgi" (CVE-2012-1823) som finns i PHP 5.4.3 y 5.3.13.

Denna sårbarhet påverkar vissa versioner av distributioner av GNU / Linux som Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian och andra, samt Mac OS X 10.7.1 till 10.7.4 och Mac OS X Server 10.6.8 till 10.7.3.

Även om denna sårbarhet i PHP upptäcktes och korrigerades sedan maj 2012, finns det många datorer som fortfarande är föråldrade och använder gamla versioner av PHP, vilket resulterar i ett potentiellt mål för en storskalig infektion.

Infektionsproceduren, som beskrivs i en artikel de PCWorld, är följande:

När masken väl har körts genererar den slumpmässigt IP-adresser, kommer åt en specifik sökväg på maskinen med ett känt ID och lösenord, och skickar HTTP POST-förfrågningar, som utnyttjar sårbarheten. Om målet inte har korrigerats, laddas masken ner från en skadlig server och börjar leta efter ett nytt mål.

Enligt lagt ut på sin blogg av Kaoru Hayashi, forskare av Symantec, verkar denna nya mask utformad för att, förutom traditionella datorer, infektera ett brett utbud av enheter som är anslutna till nätverket, såsom routrar, avkodarboxar, säkerhetskameror etc. som fungerar på olika varianter av GNU / Linux.

Även Symantec utvärderar risknivån för detta virus som "mycket låg" och nivåerna av spridning och hot som "låga" och anser att det är lätt att innesluta och avlägsna det. Faktum är att den potentiella risken det representerar mångdubblas avsevärt om vi tar hänsyn till betydande ökning som det så kallade "sakernas internet" registrerar på senare tid.

Än en gång enligt Symantec, för tillfället sker spridningen av masken endast mellan x86-system eftersom den nedladdade binären är i format ÄLVA (Körbart och länkbart format) för arkitektur Intel, men forskarna indikerar att servrarna också är värdvarianter för arkitekturer ARM, PPC, MIPS y MIPSEL, vilket är mycket oroande med tanke på den höga potentialen hos enheter med dessa arkitekturer som kan infekteras.

ELF header för en version av masken för ARM

ELF header för en version av masken för ARM

Det är välkänt att den fasta programvaran som är inbäddad i många enheter är baserad på GNU / Linux och innehåller vanligtvis en webbserver med PHP för administratörsgränssnittet.

Detta innebär en potentiell risk som är mycket större än för datorer med någon distribution av GNU / Linux, eftersom de till skillnad från de senare inte regelbundet får de nödvändiga säkerhetsuppdateringarna för att korrigera de upptäckta sårbarheterna, vilket tilläggs att det för att genomföra firmwareuppdateringen krävs en viss grad av teknisk kunskap som en stor del av ägarna av nämnda enheter.

den rekommendationer för att undvika infektion med denna mask är de ganska enkla: hålla våra system uppdaterade med publicerade säkerhetskorrigeringar och vidta extrema säkerhetsåtgärder med enheter anslutna till nätverket, som t.ex ändra standardadmin IP-adress, användarnamn och lösenord y hålla firmware uppdaterad, antingen med de som släppts av tillverkaren, eller med de gratis motsvarigheter som finns tillgängliga på erkända webbplatser.

Det rekommenderas också att blockera inkommande POST-förfrågningar samt alla andra typer av HTTPS-anrop, när det är möjligt.

Å andra sidan föreslås det från och med nu att man tar hänsyn till det lätta att uppdatera firmware och det långsiktiga stödet från tillverkaren när man utvärderar förvärvet av ny utrustning.

För tillfället uppdaterar jag firmwaren på min Netgear-router, som hade legat på att-göra-listan ett tag, så att det "hemma hos smeden..." inte skulle bli verklighet.

Obs: Den detaljerade listan över distributioner av GNU / Linux som ursprungligen innehöll sårbarheten PHP som utnyttjas av detta virus finns på följande länk.