Un báo cáo chính thức de Symantec vào ngày 26 tháng XNUMX, cảnh báo về sự tồn tại của một loại virus mới có tên Linux Darlioz, có thể ảnh hưởng đến nhiều loại máy tính, khai thác lỗ hổng “php-cgi” (CVE-2012-1823) có trong PHP 5.4.3 và 5.3.13.
Lỗ hổng này ảnh hưởng đến một số phiên bản phân phối của GNU / Linux chẳng hạn như Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian và các loại khác, cũng như Mac OS
Mặc dù lỗ hổng này ở PHP được phát hiện và sửa chữa từ tháng 2012 năm XNUMX, có nhiều máy tính vẫn còn lỗi thời và sử dụng phiên bản cũ của phần mềm này. PHP, dẫn đến một mục tiêu tiềm năng cho sự lây nhiễm trên quy mô lớn.
Quy trình lây nhiễm, như được mô tả trong một bài viết de Thế giới PC, như sau:
Sau khi được thực thi, sâu tạo ngẫu nhiên các địa chỉ IP, truy cập vào một tuyến cụ thể trên máy bằng ID và mật khẩu đã biết rồi gửi các yêu cầu HTTP POST để khai thác lỗ hổng. Nếu lỗ hổng chưa được sửa trên mục tiêu, sâu sẽ được tải xuống từ máy chủ độc hại và bắt đầu tìm kiếm mục tiêu mới.
Dựa theo đã đăng trên blog của bạn qua Kaoru Hayashi, nhà nghiên cứu của Symantec, loại sâu mới này dường như được thiết kế để lây nhiễm, ngoài các máy tính truyền thống, một loạt thiết bị được kết nối vào mạng, chẳng hạn như bộ định tuyến, hộp giải mã, camera an ninh, v.v., hoạt động trên nhiều biến thể khác nhau của GNU / Linux.
Mặc dù Symantec đánh giá mức độ rủi ro của loại vi-rút này là “rất thấp” và mức độ phân phối và mối đe dọa là “thấp” đồng thời coi việc ngăn chặn và loại bỏ nó là “dễ dàng”, trên thực tế, rủi ro tiềm ẩn mà nó gây ra sẽ tăng lên đáng kể nếu chúng tôi tính đến sự gia tăng đáng kể mà cái gọi là “internet vạn vật” đang đăng ký trong thời gian gần đây.
Một lần nữa theo Symantec, hiện tại sự lây lan của sâu chỉ xảy ra giữa các hệ thống x86 vì tệp nhị phân được tải xuống nằm trong ELF (Định dạng có thể thực thi và có thể liên kết) cho kiến trúc Intel, nhưng các nhà nghiên cứu chỉ ra rằng các máy chủ cũng lưu trữ các biến thể của kiến trúc ARM, UBND tỉnh, MIPS y MIPSEL, điều này rất đáng lo ngại vì khả năng bị lây nhiễm cao của các thiết bị có kiến trúc này.
Người ta biết rằng phần sụn được nhúng trong nhiều thiết bị dựa trên GNU / Linux và thường bao gồm một máy chủ web với PHP cho giao diện quản trị.
Điều này gây ra rủi ro tiềm ẩn lớn hơn nhiều so với các máy tính có bất kỳ sự phân phối phần mềm nào. GNU / Linux, vì không giống như sau, họ không thường xuyên nhận được các bản cập nhật bảo mật cần thiết để sửa các lỗ hổng được phát hiện, đồng thời bổ sung thêm rằng để cập nhật chương trình cơ sở, cần có một mức độ kiến thức kỹ thuật nhất định mà kiến thức kỹ thuật tốt thiếu. thiết bị.
các Khuyến cáo để tránh nhiễm trùng với con sâu này, mọi việc khá đơn giản: giữ cho hệ thống của chúng tôi được cập nhật với các bản vá bảo mật được công bố và thực hiện các biện pháp bảo mật cực kỳ cơ bản với các thiết bị được kết nối mạng, chẳng hạn như thay đổi địa chỉ IP mặc định, tên người dùng và mật khẩu quản trị viên y giữ phần mềm cập nhật, với những thứ do nhà sản xuất phát hành hoặc với những thứ tương đương miễn phí có sẵn trên các trang web được công nhận.
Bạn cũng nên chặn các yêu cầu POST đến cũng như mọi loại lệnh gọi HTTPS khác bất cứ khi nào có thể.
Mặt khác, kể từ bây giờ, bạn nên tính đến việc đánh giá việc mua bất kỳ thiết bị mới nào, khả năng dễ dàng cập nhật chương trình cơ sở và sự hỗ trợ lâu dài do nhà sản xuất cung cấp.
Hiện tại, tôi đang cập nhật chương trình cơ sở cho bộ định tuyến Netgear của mình, bộ định tuyến này đã nằm trong danh sách các nhiệm vụ đang chờ xử lý một thời gian, kẻo câu nói “ở nhà thợ rèn…” trở thành sự thật.
Lưu ý: Danh sách phân phối chi tiết GNU / Linux ban đầu chứa lỗ hổng của PHP bị virus này khai thác có sẵn như sau Link.