Le ver «TheMoon» infecte les routeurs Linksys

Un programme d'auto-réplication infecte les routeurs Linksys en exploitant une vulnérabilité de contournement d'authentification dans divers modèles de la gamme de produits E-Series du fournisseur.

+Également sur Network World: Offres technologiques pour la journée des présidents +

Des chercheurs de l'Internet Storm Center (ISC) du SANS Institute ont émis une alerte mercredi concernant des incidents où les routeurs Linksys E1000 et E1200 avaient été compromis et analysaient d'autres plages d'adresses IP (Internet Protocol) sur les ports 80 et 8080. Jeudi, les chercheurs d'ISC ont rapporté qu'ils a réussi à capturer le malware responsable de l'activité d'analyse dans l'un de leurs pots de miel - les systèmes laissés intentionnellement exposés à des attaques.

Les attaques semblent être le résultat d'un ver - un programme d'auto-réplication - qui compromet les routeurs Linksys, puis utilise ces routeurs pour rechercher d'autres appareils vulnérables.

"À ce stade, nous sommes conscients d'un ver qui se propage parmi différents modèles de routeurs Linksys", a déclaré Johannes Ullrich, directeur de la technologie chez SANS ISC, dans un article de blog distinct. "Nous n'avons pas de liste précise de routeurs vulnérables, mais les routeurs suivants peuvent être vulnérables en fonction de la version du micrologiciel: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900."

Le ver, qui a été surnommé TheMoon parce qu'il contient le logo de Lunar Industries, une société fictive du film de 2009 "The Moon", commence par demander une / HNAP1 / URL aux appareils derrière les adresses IP numérisées. HNAP - le Home Network Administration Protocol - a été développé par Cisco et permet l'identification, la configuration et la gestion des périphériques réseau.

Le ver envoie la requête HNAP afin d'identifier le modèle du routeur et la version du firmware. S'il détermine qu'un périphérique est vulnérable, il envoie une autre demande à un script CGI particulier qui permet l'exécution de commandes locales sur le périphérique.

SANS n'a pas divulgué le nom du script CGI car il contient une vulnérabilité de contournement d'authentification. "La demande ne nécessite pas d'authentification", a déclaré Ullrich. "Le ver envoie des informations d'identification 'admin' aléatoires mais elles ne sont pas vérifiées par le script."

Le ver exploite cette vulnérabilité pour télécharger et exécuter un fichier binaire au format ELF (exécutable et linkable) compilé pour la plate-forme MIPS. Lorsqu'il est exécuté sur un nouveau routeur, ce binaire commence à rechercher de nouveaux périphériques à infecter. Il ouvre également un serveur HTTP sur un port aléatoire de faible nombre et l'utilise pour servir une copie de lui-même aux cibles nouvellement identifiées.

Le binaire contient une liste codée en dur de plus de 670 plages d'adresses IP qu'il scanne, a déclaré Ullrich. "Tous semblent liés à des FAI par modem câble ou DSL dans différents pays."

Il n'est pas clair quel est le but du logiciel malveillant autre que de se propager à d'autres appareils. Il y a quelques chaînes dans le binaire qui suggèrent l'existence d'un serveur de commande et de contrôle, ce qui ferait de la menace un botnet que les attaquants pourraient contrôler à distance.

Linksys est conscient de la vulnérabilité de certains routeurs de la série E et travaille sur un correctif, a déclaré Mike Duin, porte-parole du propriétaire de Linksys Belkin, dans un e-mail vendredi..

Ullrich a décrit plusieurs stratégies d'atténuation dans les commentaires de son article de blog. Tout d'abord, les routeurs non configurés pour l'administration à distance ne sont pas directement exposés à cette attaque. Si un routeur doit être administré à distance, restreindre l'accès à l'interface administrative par adresse IP contribuera à réduire le risque, a déclaré Ullrich. Changer le port de l'interface pour autre chose que 80 ou 8080, empêchera également cette attaque particulière, a-t-il déclaré.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.