赛门铁克确认影响GNU / Linux的新蠕虫

Un 官方报告 de 赛门铁克 去年26月XNUMX日,警告存在一种新病毒,其洗礼为 Linux 达里奥,它可以利用存在于该漏洞中的“ php-cgi”(CVE-2012-1823)漏洞影响多种计算机 PHP 5.4.3和5.3.13

此漏洞会影响某些版本的 GNU / Linux的 如Ubuntu,TurboLinux,SuSE,Red Hat,Mandriva,Debian等,以及Mac OS X 10.7.1至10.7.4,以及Mac OS X Server 10.6.8至10.7.3。

虽然这个漏洞在 PHP 自2012年XNUMX月以来已被检测到并得到纠正,许多计算机仍旧过时并使用旧版本的 PHP,因此可能成为大规模感染的目标。

感染步骤,如 一篇文章 de PCWORLD,如下所示:

一旦执行,该蠕虫将随机生成IP地址,并使用已知的ID和密码访问计算机上的特定路径,并发送利用此漏洞的HTTP POST请求。 如果尚未在目标上纠正该漏洞,则从恶意服务器下载蠕虫并开始寻找新目标

根据 发表在您的博客上林薰,研究员 赛门铁克,这种新蠕虫似乎旨在感染传统计算机以外的各种连接到网络的设备,例如路由器,机顶盒,安全摄像机等,这些设备可用于多种变体。 GNU / Linux的.

虽然 赛门铁克 将该病毒的风险级别评估为“非常低”,将分发和威胁的水平评估为“低”,并认为其遏制和清除很容易,但实际上,如果我们考虑近年来,所谓的“物联网”已经注册。

根据一个多的时间 赛门铁克,由于下载的二进制文件位于x86系统中,因此该蠕虫仅在xXNUMX系统之间传播。 ELF (可执行和可链接格式)用于体系结构 英特尔,但研究人员指出,这些服务器还托管架构的变体 ARM, 竞价排名, MIPS y 米塞尔,考虑到具有这些架构的设备很可能被感染,因此这非常令人担忧。

用于ARM的蠕虫版本的ELF标头

用于ARM的蠕虫版本的ELF标头

众所周知,许多设备中嵌入的固件基于 GNU / Linux的 通常包括一个带有 PHP 用于管理界面。

这意味着潜在的风险要比任何具有 GNU / Linux的,因为与后者不同,它们不会定期接收必要的安全更新来更正检测到的漏洞,此外,为了进行固件更新,还需要一定程度的技术知识,这在很大程度上是拥有者的一部分。这样的设备。

避免感染的建议 使用此蠕虫,它们非常简单: 保持系统更新 具有已发布的安全补丁和具有连接到网络的设备的极端基本安全措施,例如 更改默认IP地址,用户名和密码 y 保持固件更新,或者与制造商发布的产品一起使用,或者与可从公认站点获得的免费等效产品一起使用。

还建议尽可能地阻止传入的POST请求以及任何其他类型的HTTPS调用。

另一方面,从现在开始,建议在评估购买任何新设备时要考虑到这一点,更新固件的简便性以及制造商提供的长期支持。

现在,我正在更新我的Netgear路由器的固件,该固件长期以来一直在待处理任务列表中,以免“在铁匠的家中……”

注意:详细的发行清单 GNU / Linux的 最初包含以下漏洞 PHP 该病毒利用以下 链接.