Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."	+/–
Сообщение от opennews (??), 17-Фев-14, 23:54
Центр противодействия угрозам в Интернет опубликовал (https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%...) предупреждение о выявлении активности сетевого червя, поражающего беспроводные маршрутизаторы Linksys. Используя для проникновения  неисправленную уязвимость червь получает управление на  устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки. Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти (http://www.exploit-db.com/exploits/31683/) прототип эксплоита. Червь проникает в систему через эксплуатации уязвимости в одном из cgi-скриптов, доступных без аутентификации. Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP): <font color="#461b7e">     echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080 </font> URL: https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%... Новость: http://www.opennet.me/opennews/art.shtml?num=39111
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Dimez (??), 18-Фев-14, 00:19	+1 +/–
Cisco, toWORMow starts here!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #39

3. Сообщение от Аноним (-), 18-Фев-14, 00:27	+/–
О, а сколько же дыр в "больших" Cisco? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от A.Stahl (ok), 18-Фев-14, 00:33	+37 +/–
В больших цисках дыр нет. Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #44

5. Сообщение от klalafuda (?), 18-Фев-14, 00:39	+/–
> The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions. > Next, the worm will send an exploit to a vulnerable CGI script running on these routers. Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #25, #30

6. Сообщение от anonymous (??), 18-Фев-14, 00:56	+3 +/–
А я то думаю, кто же мне конфиг по ночам подправляет. А это американброзерс оказывается =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Xasd (ok), 18-Фев-14, 01:15	+2 +/–
приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #33, #34, #36, #55

9. Сообщение от Аноним (-), 18-Фев-14, 01:34	+/–
И при чём тут open source?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #50

10. Сообщение от IMHO (?), 18-Фев-14, 01:52	+/–
новость для того, что бы бежать в opensource "истории успеха" не только в опенсорс есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

12. Сообщение от Аноним (-), 18-Фев-14, 02:37	+3 +/–
WRT320N: снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #45

13. Сообщение от Lain_13 (ok), 18-Фев-14, 04:59	–4 +/–
Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от VolanD (ok), 18-Фев-14, 05:40	+/–
> ванильном GNU/Linux-дистрибутиве :) Это априори гарантирует вам безопасность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #18, #19

15. Сообщение от Аноним (-), 18-Фев-14, 06:09	+/–
Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #21, #22

17. Сообщение от VolanD (ok), 18-Фев-14, 07:37	–1 +/–
> Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт > 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?! Исходники же открыты, в опенкоде бекдоров быть не может! Ибо каждый адепт с утра до вечера их читает!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от an (??), 18-Фев-14, 08:50	+6 +/–
это гарантирует отсутствие веб-интерфейса :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (-), 18-Фев-14, 08:51	–1 +/–
Безопастность никто не сможет гарантировать, но в данном случае, когда человек собрал и настроил себе систему сам, то он знает, какие компоненты использовались и соответственно имеет больший контроль над софтом, чем на сраном роутере с бекдорами от вендора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #24

20. Сообщение от Аноним (-), 18-Фев-14, 09:32	+2 +/–
Т.е. чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета? Блин, почему опять так сложно?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Добрый доктор (?), 18-Фев-14, 10:10	+/–
1720/tcp filtered H.323/Q.931
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от mickvav (?), 18-Фев-14, 10:17	+/–
Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от Ринальдус (ok), 18-Фев-14, 10:23	+1 +/–
>> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080 Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #37

24. Сообщение от Deq (?), 18-Фев-14, 10:55	+/–
ну ну, знавали мы таких
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от cmp (ok), 18-Фев-14, 11:16	+/–
У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

26. Сообщение от siyanieoverip (?), 18-Фев-14, 11:23	+/–
А без отключения RMA защититься от атаки никак нельзя?
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от klalafuda (?), 18-Фев-14, 11:28	+1 +/–
> Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя? Нет конечно. Скорее всего он просто выключен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от Wulf (??), 18-Фев-14, 11:44	+/–
> Нет конечно. Скорее всего он просто выключен. Ответ неверен. Если он выключен, то 100% надежно защищен
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #49

30. Сообщение от Михаил (??), 18-Фев-14, 12:54	+3 +/–
Нет, но если получили девайс от провайдера - там все может быть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

31. Сообщение от freehck (ok), 18-Фев-14, 14:00	–1 +/–
Слитно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

32. Сообщение от klalafuda (?), 18-Фев-14, 15:24	+/–
> Ответ неверен. Если он выключен, то 100% надежно защищен Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35

33. Сообщение от Аноним (-), 18-Фев-14, 15:28	+/–
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном > ванильном GNU/Linux-дистрибутиве :) О каком роутере речь? И прошивка реально вами с 0 собранное окружение?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #38

34. Сообщение от Аноним (-), 18-Фев-14, 15:45	+/–
> ванильном GNU/Linux-дистрибутиве :) Да можно и автомобиль самому в гараже собрать. Только долго и геморно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #40

35. Сообщение от Аноним (-), 18-Фев-14, 15:49	+/–
> Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб Роутеры легкие, чтобы их так уронить - надо еще постараться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от SunXE (ok), 18-Фев-14, 16:40	+/–
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :) Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #47

37. Сообщение от Аноним (-), 18-Фев-14, 17:24	+/–
e3200 - эксплойт не пашет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

38. Сообщение от Xasd (ok), 18-Фев-14, 17:39	+3 +/–
>> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном >> ванильном GNU/Linux-дистрибутиве :) > О каком роутере речь? И прошивка реально вами с 0 собранное окружение? какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все дела :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #41

39. Сообщение от Аноноим (?), 18-Фев-14, 19:33	+/–
CISCO уже не при делах. Вините белкиных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #42

40. Сообщение от Xasd (ok), 18-Фев-14, 19:52	+/–
и дорого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #46

41. Сообщение от Аноним (-), 18-Фев-14, 20:32	–1 +/–
> какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, > openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все > дела :) На какое устройство вы его установили? Что используете в качестве роутера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

42. Сообщение от Dimez (ok), 18-Фев-14, 21:54	+/–
Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #52

44. Сообщение от Аноним (-), 19-Фев-14, 05:12	+/–
то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз в ту пору, когда та пыталась сопротивляться "сотрудничеству". и таки-да, не сомневайтесь - дырявое оно на%"%. но с гламурными, аккуратными интерфейсами удобными API и с поддержкой всех четырех стандартизированных CALEA-интерфейсов для ретеншна данных для анализа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

45. Сообщение от Аноним (-), 19-Фев-14, 06:33	+/–
Dual Access / Russia L2TP и что бы переживало обновления ip от dhcp сервера провайдера, каждые полчаса, без разрыва l2tp есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

46. Сообщение от Аноним (-), 19-Фев-14, 06:49	+/–
> и дорого Ну это уже как повезет и смотря что включать в цену. К тому же если вы будете покупать штучный кастом по лично вашему заказу - будет еще в 5 раз дороже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

47. Сообщение от Аноним (-), 19-Фев-14, 06:50	–1 +/–
> Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :) А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются. С опенком стремно. Вдруг он все-таки каким-то чудом загрузится и даже сеть поднимет?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

48. Сообщение от Дум Дум (?), 19-Фев-14, 09:15	+1 +/–
"Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

49. Сообщение от Аноним (-), 19-Фев-14, 13:42	+/–
> Если он выключен, то 100% надежно защищен Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не приставлен вооруженный караул. Но и тогда сомнения не оставляют меня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

50. Сообщение от Аноним (-), 20-Фев-14, 02:39	+/–
> И при чём тут open source? При том, что при OpenWRT такой фигни не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

51. Сообщение от vi (?), 20-Фев-14, 12:10	+/–
Да, да! :D Суперполезный червь-то оказывается! Ищет уязвимости, поражает их и дальше маршрутизатор работает без уязвимостей!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

52. Сообщение от lk (?), 21-Фев-14, 02:53	+/–
В нарушениях GPL случившихся в линксис до циски виновата была циска. В дырах обнаруженных после циски тоже виновата циска. А и действительно... гавкать на белкина как-то несолидно. Не то что на циску.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

53. Сообщение от Аноним (-), 09-Мрт-14, 11:54	+/–
На сайте linksys так и нет обновления прошивки :(
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 04-Апр-15, 14:39	+/–
А как эту команду на windows ввести?
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от Аноним (-), 28-Июн-16, 19:33	+/–
А за скушанный свет вы тоже сами платите? Как оно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема