Video: TP Link Vulnerability --The Moon Worm-- (Remote Code Execution) using Routersploit Framework (November 2024)
Een zelfreplicerende worm maakt misbruik van een kwetsbaarheid voor bypass-authenticatie in Linksys thuis- en kleine zakelijke routers. Als u een van de routers uit de E-serie hebt, loopt u risico.
De worm, "De maan" genoemd vanwege de maanreferenties in zijn code, doet op dit moment niet veel meer dan scannen naar andere kwetsbare routers en kopieën van zichzelf maken, schreven onderzoekers vorige week op het internet Storm Center-blog van het SANS Institute. Het is op dit moment onduidelijk wat de payload is of of het opdrachten ontvangt van een command-and-control-server.
"Op dit moment zijn we ons bewust van een worm die zich verspreidt onder verschillende modellen van Linksys-routers, " schreef Johannes Ullrich, de chief technology officer bij SANS, in een blogpost. "We hebben geen definitieve lijst van kwetsbare routers, maar de volgende routers kunnen kwetsbaar zijn, afhankelijk van de firmwareversie: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Er zijn meldingen dat E300-, WAG320N-, WAP300N-, WES610N-, WAP610N-, WRT610N-, WRT400N-, WRT600N-, WRT320N-, WRT160N- en WRT150N-routers ook kwetsbaar zijn.
"Linksys is op de hoogte van de malware genaamd The Moon die bepaalde oudere Linksys E-series Routers en oudere Wireless-N toegangspunten en routers heeft beïnvloed, " schreef Belkin, het bedrijf dat het merk Linksys vorig jaar van Cisco verwierf, in een blog post. Er is een firmware-fix gepland, maar er is momenteel geen specifiek tijdschema beschikbaar.
De maan valt aan
Eenmaal op een kwetsbare router maakt de Moon-worm verbinding met poort 8080 en gebruikt het Home Network Administration Protocol (HNAP) om het merk en de firmware van de gecompromitteerde router te identificeren. Het exploiteert vervolgens een CGI-script om toegang te krijgen tot de router zonder authenticatie en te scannen op andere kwetsbare boxen. SANS schat dat meer dan 1.000 Linksys-routers al zijn geïnfecteerd.
Een proof-of-concept gericht op de kwetsbaarheid in het CGI-script is al gepubliceerd.
"Er zijn ongeveer 670 verschillende IP-bereiken die worden gescand voor andere routers. Ze lijken allemaal bij verschillende kabelmodems en DSL-internetproviders te horen. Ze worden enigszins wereldwijd gedistribueerd, " zei Ullrich.
Als u zwaar uitgaand scannen in poort 80 en 8080 en inkomende verbindingen op diverse poorten lager dan 1024 ziet, bent u mogelijk al geïnfecteerd. Als je echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 pingt en een XML HNAP-uitvoer krijgt, dan heb je waarschijnlijk een kwetsbare router, zei Ullrich.
Verdediging tegen de maan
Als u een van de kwetsbare routers hebt, kunt u een paar stappen ondernemen. Allereerst worden routers die niet zijn geconfigureerd voor extern beheer niet weergegeven, zei Ullrich. Dus als u geen extern beheer nodig hebt, schakelt u Remote Management Access uit via de beheerdersinterface.
Als u extern beheer nodig hebt, beperkt u de toegang tot de beheerdersinterface op IP-adres zodat de worm geen toegang heeft tot de router. U kunt ook Filter Anonymous Internet Requests inschakelen op het tabblad Administration-Security. Omdat de worm zich via poort 80 en 8080 verspreidt, maakt het wijzigen van de poort voor de beheerdersinterface het ook moeilijker voor de worm om de router te vinden, zei Ullrich.
Thuisrouters zijn populaire aanvalsdoelen, omdat het meestal oudere modellen zijn en gebruikers meestal geen updates van firmware volgen. Cybercriminelen hebben bijvoorbeeld recentelijk thuisrouters gehackt en DNS-instellingen gewijzigd om informatie te onderscheppen die naar sites voor online bankieren is verzonden, volgens een waarschuwing eerder deze maand van het Poolse Computer Emergency Response Team (CERT Polska).
Belkin stelt ook voor om bij te werken naar de nieuwste firmware om eventuele andere problemen te verhelpen die mogelijk niet zijn opgelost.
