PplWare Mobile

Linux.Darlloz ataca os equipamentos lá de casa….


Autor: Pedro Pinto


  1. D says:

    O problema é, será que todos os fabricantes vão lançar atualizações para os mais variados routers?

    • Pedro Pinto says:

      Pois, o mais certo é que nao. Esta vulnerabilidade já foi detectada ha um ano…ainda se fala da mesma….é isto blaster…ha maquinas que continuam vulneráveis.

    • Nelson says:

      Mas… que routers é que tu conheces que usam CPU’s Intel?

      E, se usarem CPU’s Intel, que router mais deficiente do mundo não vem por defeito, a bloquear ligações inbound externas?

      • lmx says:

        aqui a unica hipotse é tu proprio dentro da rede correres esta aplicação e ela “faralhar-te” o sistema todo 😀

        Tirando isto, é impossível, porque o router da rua, normalmente apenas aceita ligações inbound established ou related, mas as NEW ele faz drop…

        A outra situação é num conjunto de servidores online…onde obviamente tens que deixar entrar as ligações para o porto 80 ou 8080 depende daquilo que tens, e se essas maquinas forem de base x86, ai pode criar problemas…

        Ou seja, mudem já os vossos servidores para ARM 😀

        Aqui ficou-me uma duvida…

        Será que se tivermos um reverse proxy configurado com um Servidor http(coisa que nunca faço, mas imaginando), squid por exemplo…será que o reverse proxy é afectado??com este tipo de pedidos??

        Uma das soluções é colocar regras nos varios backends http, para eles não deixarem criar ligações outbound http(porto 80 ou 8080) para a rede interna, sendo que o servidor http,não tem nada que ter o poder de criar ligações http para a rede interna…isto no meu desenho do sistema…

        Um problema é os servidores de cache, mas a solução é coloca-los numa rede separada…no entanto isto trás latencias na rede, pois será preciso equipamentos de routing poderosissimos…se o site receber muitos pedidos por segundo…

        E para os servidores de cache, não estou a ver grande solução…sendo que eles teem obrigatoriamente de fazer coneções ao backend http, quando não teem as coisas pedidas cachadas :S

        Para o utilizador comun,não haverá problema…a partida, a não ser que ele abra a coisa, mesmo para ser infectado…acredito que haja pessoas capazes disso…

        cmps

  2. NMSS says:

    Pior que não haver atualizações disponíveis, é haver e as pessoas pura e simplesmente não as instalarem. Com toda a certeza, mais de 90% das pessoas que conheço ignoram constantemente os avisos de novas actualizações… E o que mais me espanta é grande parte delas serem pessoas cultas e responsáveis e falharem numa coisa destas e não terem a mínima noção do perigo que correm! Andam preocupados que lhes roubem a carteira que trazem no bolso com meia dúzia de trocos e depois fazem pagamentos online com a maior das descontrações em computadores desactualizados, sem anti-vírus e em redes públicas…

  3. Diogo R. says:

    Se deixa-se a porta aberta para o zonhub é que era.

  4. David S. says:

    Uma piada esta noticia xD tem que se ser muito noob para dar créditos a ela… Pelos vistos ainda tem gente que acredita na Symantec…

    Abraços.

    • pedro says:

      E pelos vistos também tem gente que pensa que ainda não existem vírus para sistemas linux.

      • David S. says:

        Pelos vistos andas muito pouco informado sobre Vírus para GNU/Linux.
        A maioria dos worms vírus etc que vi para Gnu/Linux para eles funcionarem o user tinha que fazer muitos passos logo isso para mim não é um vírus xD
        Já em outros sistemas a maioria dos users nem imagina a quantidade de pragas que tem instala xD

        Abraços.

      • p. says:

        Dar autorizações de root com propt de password em seguida para instalar um virus depois de retirado de um site manhoso não pode ser propriamente considerado vírus.

    • X says:

      Como revelar toda a ignorancia num unico post.

      Respondendo às questões anteriores, os routers mais recentes das operadoras filtram todo o trafego inbound, mas antigamente nao era assim. A internet nao se resume apenas a portugal ou aos vossos sistemas. 😛

      Normalmente vinham com um porto aberto para administraçao remota. Especialmente o HTTP(S) e/ou telnet. Basta pegar numa range de uma pool doméstica de uma qualquer operadora (nacional ou n) e arranja-se uma data de routers (ou outros devices) prontinhos a serem explorados.

      Sinceramente nao conheço muitos routers x86, mas pela maneira que o worm foi escrito, nao afecta apenas devices mas sim qualquer servidor com aquela falha especifica.

      Pelo que li, cheira-me que o autor do worm nao sabia grande coisa acerca das diferentes archs existentes (para andar a usar x86 ELF e tentar andar a procura de routers adls e boxs dreambox com default password, e visto que eles normalmente sao ARM e pq andou um bocadinho aos papeis).

      • Pedro Pinto says:

        Boas X,

        Ao que parece começam a surgir variantes que afectam outras arquitecturas além da Intel.

      • Rascas says:

        Pelo que tive a ler o worm para entrar numa rede tem de ser através de um router com processador intel (que são mto poucos) e com o modulo php-cgi activo (ainda menos).

        Quando o router é comprometido o worm liga-se a um site e faz o download de outras vulnerabilidades antigas que afectam outros sistemas desactualizados (a falha ja foi corrigida á 18 meses) com outras arquicteturas (ARM, MIPS…) para atacar outros dispositivos na rede que tb estejam a correr o php-cgi visto que é aqui que está a vulnerabilidade. É assim que a segurança pode ficar comprometida noutros dispositivos não Intel.

        Como podem ver são precisas mtas condições para o ataque ser bem sucedido. A symantec classifica o Linux.Darlloz de Risk Level 1: Very Low

  5. NT says:

    Boas,

    Não é coisa que nos vai afectar assim tanto quanto isso (mais fumo que fogo…) No entanto é algo que preocupa muitos investigadores na área de segurança. É que mesmo que os fabricantes façam o update de firmware quem é que os vai instalar? Talvez alguns leitores aqui do pplware porque viram a noticia, mas o router do utilizador que foi a um “supermercado” e comprou o wireless lá para casa nem suspeita que aquela caixa “mágica” tem algo chamado firmware.

    Vírus para linux/unix no geral ainda não se “fabricam”, porém falhas de segurança existem MUITAS e se o pessoal não faz as actualizações…

    Já agora uma pequena dica https://pplware.sapo.pt/linux/dd-wrt-torne-o-seu-router-wireless-mais-potente/ o post já é velhinho mas funciona, por exemplo para o meu router a última actualização foi em 22-04-2013 e só por curiosidade fui ao site do fabricante o frimware disponível é de 2011 e não tem um terço das funcionalidades.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.