Un офіційний звіт de Symantec 26 листопада минулого року, попередження про існування нового вірусу, охрещеного як Linux Дарліоз, які можуть впливати на широкий спектр комп'ютерів, використовуючи вразливість "php-cgi" (CVE-2012-1823), наявну в PHP 5.4.3 і 5.3.13
Ця вразливість впливає на деякі версії дистрибутивів GNU / Linux такі як Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian та інші, а також Mac OS X 10.7.1 - 10.7.4 та Mac OS X Server 10.6.8 - 10.7.3.
Хоча ця вразливість у PHP було виявлено та виправлено з травня 2012 року, багато комп'ютерів досі застаріли та використовують старі версії PHP, що призводить до потенційної мішені для широкомасштабної інфекції.
Процедура зараження, як описано в Стаття de PCWorld, є наступним:
Після запуску черв'як випадковим чином генерує IP-адреси, отримуючи доступ до певного шляху на машині з відомими ідентифікатором та паролем, і відправляє запити HTTP POST, які використовують вразливість. Якщо уразливість не була виправлена на цілі, хробак завантажується зі шкідливого сервера і починає шукати нову ціль
Відповідно до розміщені у вашому блозі по Каору хаясі, дослідник Symantec, здається, цей новий хробак заражає, крім традиційних комп’ютерів, широкий спектр пристроїв, підключених до мережі, таких як маршрутизатори, приставки, камери безпеки тощо, які працюють на різних варіантах GNU / Linux.
Хоча Symantec оцінює рівень ризику цього вірусу як "дуже низький", а рівні поширення та загрози як "низький" і вважає його стримування та видалення "легким", насправді потенційний ризик, який він представляє, значно збільшується, якщо взяти до уваги істотний збільшення того, що останнім часом реєструється так званий "Інтернет речей".
Ще раз згідно з Symantec, на даний момент хробак поширюється лише між системами x86, оскільки завантажений двійковий файл знаходиться в ELF (Виконуваний та зв’язуваний формат) для архітектури Intel, але дослідники вказують, що сервери також містять варіанти архітектур ARM, КПП, MIPS y МІПСЕЛЬ, що викликає велике занепокоєння, враховуючи високий потенціал пристроїв з цими архітектурами, які, ймовірно, можуть бути зараженими.
Загальновідомо, що вбудована в багато пристроїв прошивка базується на GNU / Linux і, як правило, включає веб-сервер з PHP для інтерфейсу адміністратора.
Це передбачає потенційний ризик набагато більший, ніж ризик комп'ютерів з будь-яким розповсюдженням GNU / Linuxоскільки, на відміну від останніх, вони регулярно не отримують оновлення системи безпеки, необхідні для виправлення виявлених вразливостей, до яких додається, що для оновлення мікропрограми необхідний певний рівень технічних знань, про що значною частиною власників такі пристрої.
The рекомендації, щоб уникнути зараження з цим хробаком вони досить прості: постійно оновлюйте наші системи з опублікованими виправленнями безпеки та надзвичайними елементарними заходами безпеки пристроїв, підключених до мережі, таких як змінити IP-адресу, ім'я користувача та пароль за замовчуванням y тримати оновлення мікропрограми, або з випущеними виробником, або з безкоштовними еквівалентами, доступними на визнаних сайтах.
Також рекомендується, коли це можливо, блокувати вхідні запити POST, а також будь-який інший тип дзвінка HTTPS.
З іншого боку, відтепер пропонується враховувати при оцінці придбання будь-якого нового обладнання, простоту оновлення прошивки та довготривалу підтримку, що надається виробником.
Наразі я оновлюю прошивку свого маршрутизатора Netgear, який тривалий час був у списку відкладених завдань, щоб не було виконано те, що "в будинку коваля ..."
Примітка: Докладний перелік дистрибутивів GNU / Linux які спочатку містять вразливість PHP експлуатований цим вірусом доступний нижче link.