URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94166
[ Назад ]
Исходное сообщение
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено opennews , 17-Фев-14 23:54 
Центр противодействия угрозам в Интернет опубликовал (https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%...) предупреждение о выявлении активности сетевого червя, поражающего беспроводные маршрутизаторы Linksys. Используя для проникновения  неисправленную уязвимость червь получает управление на  устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.


Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов.


Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти (http://www.exploit-db.com/exploits/31683/) прототип эксплоита. Червь проникает в систему через эксплуатации уязвимости в одном из cgi-скриптов, доступных без аутентификации. Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):


<font color="#461b7e">
    echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
</font>

URL: https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%...
Новость: http://www.opennet.me/opennews/art.shtml?num=39111

Содержание
Сообщения в этом обсуждении
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Dimez , 18-Фев-14 00:19 
Cisco, toWORMow starts here!
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 00:27 
О, а сколько же дыр в "больших" Cisco? ;)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено A.Stahl , 18-Фев-14 00:33 
В больших цисках дыр нет.
Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено anonymous , 18-Фев-14 00:56 
А я то думаю, кто же мне конфиг по ночам подправляет. А это американброзерс оказывается =)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 19-Фев-14 05:12 
то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз в ту пору, когда та пыталась сопротивляться "сотрудничеству".
и таки-да, не сомневайтесь - дырявое оно на%"%.
но с гламурными, аккуратными интерфейсами удобными API и с поддержкой всех четырех стандартизированных CALEA-интерфейсов для ретеншна данных для анализа.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноноим , 18-Фев-14 19:33 
CISCO уже не при делах. Вините белкиных.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Dimez , 18-Фев-14 21:54 
Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено lk , 21-Фев-14 02:53 
В нарушениях GPL случившихся в линксис до циски виновата была циска.
В дырах обнаруженных после циски тоже виновата циска.

А и действительно... гавкать на белкина как-то несолидно. Не то что на циску.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено klalafuda , 18-Фев-14 00:39 
> The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
> Next, the worm will send an exploit to a vulnerable CGI script running on these routers.

Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Lain_13 , 18-Фев-14 04:59 
Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено cmp , 18-Фев-14 11:16 
У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Михаил , 18-Фев-14 12:54 
Нет, но если получили девайс от провайдера - там все может быть.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Xasd , 18-Фев-14 01:15 
приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено VolanD , 18-Фев-14 05:40 
> ванильном GNU/Linux-дистрибутиве :)

Это априори гарантирует вам безопасность?


"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено an , 18-Фев-14 08:50 
это гарантирует отсутствие веб-интерфейса :)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 08:51 
Безопастность никто не сможет гарантировать, но в данном случае, когда человек собрал и настроил себе систему сам, то он знает, какие компоненты использовались и соответственно имеет больший контроль над софтом, чем на сраном роутере с бекдорами от вендора.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Deq , 18-Фев-14 10:55 
ну ну, знавали мы таких
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 15:28 
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
> ванильном GNU/Linux-дистрибутиве :)

О каком роутере речь? И прошивка реально вами с 0 собранное окружение?

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Xasd , 18-Фев-14 17:39 
>> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
>> ванильном GNU/Linux-дистрибутиве :)
> О каком роутере речь? И прошивка реально вами с 0 собранное окружение?

какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все дела :)

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 20:32 
> какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd,
> openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все
> дела :)

На какое устройство вы его установили? Что используете в качестве роутера?

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 15:45 
> ванильном GNU/Linux-дистрибутиве :)

Да можно и автомобиль самому в гараже собрать. Только долго и геморно.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Xasd , 18-Фев-14 19:52 
и дорого
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 19-Фев-14 06:49 
> и дорого

Ну это уже как повезет и смотря что включать в цену. К тому же если вы будете покупать штучный кастом по лично вашему заказу - будет еще в 5 раз дороже.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено SunXE , 18-Фев-14 16:40 
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)

Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 19-Фев-14 06:50 
> Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются. С опенком стремно. Вдруг он все-таки каким-то чудом загрузится и даже сеть поднимет?!

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 28-Июн-16 19:33 
А за скушанный свет вы тоже сами платите? Как оно?
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 01:34 
И при чём тут open source?
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено IMHO , 18-Фев-14 01:52 
новость для того, что бы бежать в opensource
"истории успеха" не только в опенсорс есть
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 20-Фев-14 02:39 
> И при чём тут open source?

При том, что при OpenWRT такой фигни не было.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 02:37 
WRT320N: снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено freehck , 18-Фев-14 14:00 
Слитно.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 19-Фев-14 06:33 
Dual Access / Russia L2TP и что бы переживало обновления ip от dhcp сервера провайдера, каждые полчаса, без разрыва l2tp есть?
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 06:09 
Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено VolanD , 18-Фев-14 07:37 
> Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
> 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!

Исходники же открыты, в опенкоде бекдоров быть не может! Ибо каждый адепт с утра до вечера их читает!!

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Добрый доктор , 18-Фев-14 10:10 
1720/tcp filtered H.323/Q.931
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено mickvav , 18-Фев-14 10:17 
Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 09:32 
Т.е. чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета? Блин, почему опять так сложно?
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Ринальдус , 18-Фев-14 10:23 
>> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено klalafuda , 18-Фев-14 11:28 
> Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

Нет конечно. Скорее всего он просто выключен.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 17:24 
e3200 - эксплойт не пашет.
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено siyanieoverip , 18-Фев-14 11:23 
А без отключения RMA защититься от атаки никак нельзя?
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Wulf , 18-Фев-14 11:44 
> Нет конечно. Скорее всего он просто выключен.

Ответ неверен. Если он выключен, то 100% надежно защищен

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено klalafuda , 18-Фев-14 15:24 
> Ответ неверен. Если он выключен, то 100% надежно защищен

Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 18-Фев-14 15:49 
> Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

Роутеры легкие, чтобы их так уронить - надо еще постараться.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 19-Фев-14 13:42 
> Если он выключен, то 100% надежно защищен

Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не приставлен вооруженный караул. Но и тогда сомнения не оставляют меня.

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Дум Дум , 19-Фев-14 09:15 
"Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено vi , 20-Фев-14 12:10 
Да, да! :D
Суперполезный червь-то оказывается! Ищет уязвимости, поражает их и дальше маршрутизатор работает без уязвимостей!
"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Отправлено Аноним , 09-Мрт-14 11:54 
На сайте linksys так и нет обновления прошивки :(
"Проверка червя"
Отправлено Аноним , 04-Апр-15 14:39 
А как эту команду на windows ввести?