Un รายงานอย่างเป็นทางการ de ไซแมนเทค เมื่อวันที่ 26 พฤศจิกายนที่ผ่านมาการแจ้งเตือนถึงการมีอยู่ของไวรัสตัวใหม่ซึ่งรับบัพติศมาเป็น ลินุกซ์ Darliozซึ่งสามารถส่งผลกระทบต่อคอมพิวเตอร์หลากหลายประเภทโดยใช้ช่องโหว่ "php-cgi" (CVE-2012-1823) ที่มีอยู่ใน PHP 5.4.3 และ 5.3.13
ช่องโหว่นี้มีผลต่อการแจกแจงบางเวอร์ชันของ GNU / Linux เช่น Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian และอื่น ๆ ตลอดจน Mac OS X 10.7.1 ถึง 10.7.4 และ Mac OS X Server 10.6.8 ถึง 10.7.3
แม้ว่าช่องโหว่นี้ใน PHP ตรวจพบและแก้ไขตั้งแต่เดือนพฤษภาคม 2012 คอมพิวเตอร์จำนวนมากยังล้าสมัยและใช้เวอร์ชันเก่า PHPส่งผลให้มีโอกาสเกิดการติดเชื้อในปริมาณมาก
ขั้นตอนการติดเชื้อตามที่อธิบายไว้ใน บทความ de PCWorldมีดังต่อไปนี้:
เมื่อดำเนินการแล้วเวิร์มจะสร้างที่อยู่ IP แบบสุ่มเข้าถึงเส้นทางเฉพาะบนเครื่องด้วย ID และรหัสผ่านที่ทราบและส่งคำขอ HTTP POST ซึ่งใช้ประโยชน์จากช่องโหว่ หากไม่ได้รับการแก้ไขช่องโหว่ในเป้าหมายเวิร์มจะถูกดาวน์โหลดจากเซิร์ฟเวอร์ที่เป็นอันตรายและเริ่มมองหาเป้าหมายใหม่
ตาม โพสต์บนบล็อกของคุณ โดย คาโอรุฮายาชินักวิจัยของ ไซแมนเทคดูเหมือนว่าหนอนตัวใหม่นี้ได้รับการออกแบบมาเพื่อติดเชื้อนอกเหนือจากคอมพิวเตอร์แบบเดิมแล้วยังมีอุปกรณ์หลากหลายประเภทที่เชื่อมต่อกับเครือข่ายเช่นเราเตอร์กล่องรับสัญญาณกล้องรักษาความปลอดภัยเป็นต้น GNU / Linux.
แม้ว่า ไซแมนเทค ประเมินระดับความเสี่ยงของไวรัสนี้ว่า "ต่ำมาก" และระดับการแพร่กระจายและภัยคุกคาม "ต่ำ" และพิจารณาว่าการกักกันและการกำจัด "ง่าย" ในความเป็นจริงความเสี่ยงที่อาจเกิดขึ้นนั้นจะทวีคูณอย่างมากหากเราคำนึงถึงสิ่งสำคัญ เพิ่มขึ้นจนมีการลงทะเบียนสิ่งที่เรียกว่า“ อินเทอร์เน็ตของสิ่งต่างๆ” ในช่วงไม่กี่ปีที่ผ่านมา
อีกครั้งตาม ไซแมนเทคในขณะนี้การแพร่กระจายของเวิร์มจะเกิดขึ้นระหว่างระบบ x86 เท่านั้นเนื่องจากไบนารีที่ดาวน์โหลดมาอยู่ในไฟล์ เอลฟ์ (Executable and Linkable Format) สำหรับสถาปัตยกรรม อินเทลแต่นักวิจัยระบุว่าเซิร์ฟเวอร์ยังโฮสต์ตัวแปรสำหรับสถาปัตยกรรม ARM, PPC, MIPS y มิพเซลซึ่งเป็นเรื่องที่เกี่ยวข้องอย่างมากเนื่องจากอุปกรณ์ที่มีศักยภาพสูงซึ่งมีสถาปัตยกรรมเหล่านี้มีแนวโน้มที่จะติดเชื้อ
เป็นที่ทราบกันดีอยู่แล้วว่าเฟิร์มแวร์ที่ฝังอยู่ในอุปกรณ์จำนวนมากนั้นขึ้นอยู่กับ GNU / Linux และมักจะรวมเว็บเซิร์ฟเวอร์ด้วย PHP สำหรับอินเทอร์เฟซผู้ดูแลระบบ
นี่แสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นได้มากกว่าคอมพิวเตอร์ที่มีการแจกจ่ายใด ๆ GNU / Linuxเนื่องจากไม่เหมือนอย่างหลังพวกเขาจึงไม่ได้รับการอัปเดตความปลอดภัยที่จำเป็นในการแก้ไขช่องโหว่ที่ตรวจพบเป็นประจำซึ่งจะมีการเพิ่มเติมว่าในการอัปเดตเฟิร์มแวร์จำเป็นต้องมีความรู้ทางเทคนิคระดับหนึ่งซึ่งเป็นส่วนที่ดีของเจ้าของ อุปกรณ์ดังกล่าว
ลา คำแนะนำเพื่อหลีกเลี่ยงการติดเชื้อ ด้วยหนอนตัวนี้พวกมันค่อนข้างง่าย: อัปเดตระบบของเราอยู่เสมอ ด้วยแพตช์ความปลอดภัยที่เผยแพร่และมาตรการรักษาความปลอดภัยขั้นพื้นฐานที่มีอุปกรณ์ที่เชื่อมต่อกับเครือข่ายเช่น เปลี่ยนที่อยู่ IP เริ่มต้นชื่อผู้ใช้และรหัสผ่าน y อัปเดตเฟิร์มแวร์อยู่เสมอไม่ว่าจะเป็นผลิตภัณฑ์ที่ออกโดยผู้ผลิตหรือสิ่งที่เทียบเท่าฟรีจากไซต์ที่ได้รับการยอมรับ
ขอแนะนำให้บล็อกคำขอ POST ที่เข้ามารวมทั้งการเรียก HTTPS ประเภทอื่น ๆ เมื่อทำได้
ในทางกลับกันจากนี้ไปขอแนะนำให้คำนึงถึงการประเมินการได้มาซึ่งอุปกรณ์ใหม่ใด ๆ ความสะดวกในการอัปเดตเฟิร์มแวร์และการสนับสนุนระยะยาวจากผู้ผลิต
ตอนนี้ฉันกำลังอัปเดตเฟิร์มแวร์ของเราเตอร์ Netgear ซึ่งอยู่ในรายชื่องานที่รอดำเนินการเป็นเวลานานเกรงว่าจะสำเร็จ "ที่บ้านของช่างตีเหล็ก ... "
หมายเหตุ: รายละเอียดการแจกแจงของ GNU / Linux ที่เดิมมีช่องโหว่ของ PHP ที่ใช้ประโยชน์จากไวรัสนี้มีดังต่อไปนี้ ลิงค์.