賽門鐵克確認影響GNU / Linux的新蠕蟲

Un 官方報告 de 賽門鐵克 去年26月XNUMX日,警告有一種新病毒存在,洗禮為 Linux 達里奧,它可以利用存在於該漏洞中的“ php-cgi”(CVE-2012-1823)漏洞影響多種計算機 PHP 5.4.3和5.3.13

此漏洞會影響某些版本的 GNU / Linux的 如Ubuntu,TurboLinux,SuSE,Red Hat,Mandriva,Debian等,以及Mac OS X 10.7.1至10.7.4,以及Mac OS X Server 10.6.8至10.7.3。

雖然這個漏洞在 PHP 自2012年XNUMX月以來已被檢測到並得到糾正,許多計算機仍舊過時並使用舊版本的 PHP,導致潛在的大規模感染目標。

感染步驟,如 一篇文章 de 這次調查是PCWorld,如下所示:

一旦執行,該蠕蟲將隨機生成IP地址,並使用已知的ID和密碼訪問計算機上的特定路徑,並發送利用此漏洞的HTTP POST請求。 如果尚未在目標上糾正該漏洞,則從惡意服務器下載蠕蟲並開始尋找新目標

根據 發表在您的博客上林薰,研究員 賽門鐵克,這種新蠕蟲似乎旨在感染傳統計算機以外的各種連接到網絡的設備,例如路由器,機頂盒,安全攝像機等,這些設備可用於多種變體。 GNU / Linux的.

雖然 賽門鐵克 將該病毒的風險級別評估為“非常低”,將分發和威脅的水平評估為“低”,並認為其遏制和清除的風險為“容易”,但實際上,如果我們考慮到所謂的“物聯網”最近已經大量增加。

根據一個多的時間 賽門鐵克,目前該蠕蟲僅在x86系統之間傳播,因為下載的二進製文件位於 精靈 (可執行和可鏈接格式)用於體系結構 Intel英特爾,但研究人員指出,這些服務器還託管架構的變體 ARM, PPC, MIPS y 米塞爾,考慮到具有這些架構的設備很可能被感染,因此這非常令人擔憂。

用於ARM的蠕蟲版本的ELF標頭

用於ARM的蠕蟲版本的ELF標頭

眾所周知,許多設備中嵌入的固件基於 GNU / Linux的 通常包括一個帶有 PHP 用於管理界面。

這意味著潛在的風險要比任何具有 GNU / Linux的,因為與後者不同,它們不會定期接收必要的安全更新來更正檢測到的漏洞,並且還添加了執行固件更新所需的一定程度的技術知識,這是一個很好的選擇這種設備的所有者的一部分。

避免感染的建議 使用此蠕蟲,它們非常簡單: 保持系統更新 具有已發布的安全補丁和具有連接到網絡的設備的極端基本安全措施,例如 更改默認IP地址,用戶名和密碼 y 保持固件更新,或者與製造商發布的產品一起使用,或者與可從公認站點獲得的免費等效產品一起使用。

還建議盡可能地阻止傳入的POST請求以及任何其他類型的HTTPS調用。

另一方面,從現在開始,建議在評估任何新設備的購置時要考慮到固件更新的簡便性以及製造商提供的長期支持。

現在,我正在更新我的Netgear路由器的固件,該固件長期以來一直在待處理任務列表中,以免“在鐵匠的家中……”

注意:詳細的發行清單 GNU / Linux的 最初包含以下漏洞 PHP 該病毒利用以下 鏈接.