Proponha uma correção, faça uma sugestão
Linux.Darlloz ataca os equipamentos lá de casa….
Worm é capaz de actuar na “Internet das Coisas”
A divulgação de algumas acções da Agência de Segurança Norte Americana (NSA) fizeram despertar o mundo para a questão da (in)segurança informática. A segurança nos serviços online é cada vez mais questionada e os ataques a equipamentos domésticos ou a partir destes (ex. TV, Ferro de engomar, etc) começa a ser uma realidade.
A Symantec descobriu recentemente um novo worm capaz de atacar um conjunto vasto de dispositivos que têm como base o Linux.
Linux.Darlloz é o nome de um novo worm, classificado actualmente como uma ameaça de baixo nível (em parte, por apenas conseguir atacar equipamentos com Linux e com CPU da Intel uma vez que o código é concebido para tal arquitectura ), capaz de infectar uma variedade de routers domésticos, boxes, câmaras de segurança, entre outros dispositivos.
Este worm explora uma vulnerabilidade do PHP (em concreto o 'php-cgi' Information Disclosure Vulnerability (CVE-2012-1823), para se auto propagar.Após a propagação, o worm começa a gerar IP’s aleatórios e envia pedidos HTTP Post para tirar partido da vulnerabilidade (em sistemas que ainda não aplicaram o patch).
Upon execution, the worm generates IP [Internet Protocol] addresses randomly, accesses a specific path on the machine with well-known ID and passwords, and sends HTTP POST requests, which exploit the vulnerability,
De referir que a vulnerabilidade explorada pelo Linux.Darlloz foi já corrigida em Maio de 2012 mas há muitos utilizadores que ainda não actualizaram os seus sistemas.
Para prevenir que os seus equipamentos sejam atacados, a Symantec sugere que actualizem os mesmos o mais rapidamente possível, que usem senhas fortes e que bloqueiem (se possível) pedidos HTTP através do método POST:
Este artigo tem mais de um ano
Loading ...
O problema é, será que todos os fabricantes vão lançar atualizações para os mais variados routers?
Pois, o mais certo é que nao. Esta vulnerabilidade já foi detectada ha um ano…ainda se fala da mesma….é isto blaster…ha maquinas que continuam vulneráveis.
Mas… que routers é que tu conheces que usam CPU’s Intel?
E, se usarem CPU’s Intel, que router mais deficiente do mundo não vem por defeito, a bloquear ligações inbound externas?
aqui a unica hipotse é tu proprio dentro da rede correres esta aplicação e ela “faralhar-te” o sistema todo 😀
Tirando isto, é impossível, porque o router da rua, normalmente apenas aceita ligações inbound established ou related, mas as NEW ele faz drop…
A outra situação é num conjunto de servidores online…onde obviamente tens que deixar entrar as ligações para o porto 80 ou 8080 depende daquilo que tens, e se essas maquinas forem de base x86, ai pode criar problemas…
Ou seja, mudem já os vossos servidores para ARM 😀
Aqui ficou-me uma duvida…
Será que se tivermos um reverse proxy configurado com um Servidor http(coisa que nunca faço, mas imaginando), squid por exemplo…será que o reverse proxy é afectado??com este tipo de pedidos??
Uma das soluções é colocar regras nos varios backends http, para eles não deixarem criar ligações outbound http(porto 80 ou 8080) para a rede interna, sendo que o servidor http,não tem nada que ter o poder de criar ligações http para a rede interna…isto no meu desenho do sistema…
Um problema é os servidores de cache, mas a solução é coloca-los numa rede separada…no entanto isto trás latencias na rede, pois será preciso equipamentos de routing poderosissimos…se o site receber muitos pedidos por segundo…
E para os servidores de cache, não estou a ver grande solução…sendo que eles teem obrigatoriamente de fazer coneções ao backend http, quando não teem as coisas pedidas cachadas :S
Para o utilizador comun,não haverá problema…a partida, a não ser que ele abra a coisa, mesmo para ser infectado…acredito que haja pessoas capazes disso…
cmps
Pior que não haver atualizações disponíveis, é haver e as pessoas pura e simplesmente não as instalarem. Com toda a certeza, mais de 90% das pessoas que conheço ignoram constantemente os avisos de novas actualizações… E o que mais me espanta é grande parte delas serem pessoas cultas e responsáveis e falharem numa coisa destas e não terem a mínima noção do perigo que correm! Andam preocupados que lhes roubem a carteira que trazem no bolso com meia dúzia de trocos e depois fazem pagamentos online com a maior das descontrações em computadores desactualizados, sem anti-vírus e em redes públicas…
Se deixa-se a porta aberta para o zonhub é que era.
Uma piada esta noticia xD tem que se ser muito noob para dar créditos a ela… Pelos vistos ainda tem gente que acredita na Symantec…
Abraços.
E pelos vistos também tem gente que pensa que ainda não existem vírus para sistemas linux.
Pelos vistos andas muito pouco informado sobre Vírus para GNU/Linux.
A maioria dos worms vírus etc que vi para Gnu/Linux para eles funcionarem o user tinha que fazer muitos passos logo isso para mim não é um vírus xD
Já em outros sistemas a maioria dos users nem imagina a quantidade de pragas que tem instala xD
Abraços.
Dar autorizações de root com propt de password em seguida para instalar um virus depois de retirado de um site manhoso não pode ser propriamente considerado vírus.
Como revelar toda a ignorancia num unico post.
Respondendo às questões anteriores, os routers mais recentes das operadoras filtram todo o trafego inbound, mas antigamente nao era assim. A internet nao se resume apenas a portugal ou aos vossos sistemas. 😛
Normalmente vinham com um porto aberto para administraçao remota. Especialmente o HTTP(S) e/ou telnet. Basta pegar numa range de uma pool doméstica de uma qualquer operadora (nacional ou n) e arranja-se uma data de routers (ou outros devices) prontinhos a serem explorados.
Sinceramente nao conheço muitos routers x86, mas pela maneira que o worm foi escrito, nao afecta apenas devices mas sim qualquer servidor com aquela falha especifica.
Pelo que li, cheira-me que o autor do worm nao sabia grande coisa acerca das diferentes archs existentes (para andar a usar x86 ELF e tentar andar a procura de routers adls e boxs dreambox com default password, e visto que eles normalmente sao ARM e pq andou um bocadinho aos papeis).
Boas X,
Ao que parece começam a surgir variantes que afectam outras arquitecturas além da Intel.
Pelo que tive a ler o worm para entrar numa rede tem de ser através de um router com processador intel (que são mto poucos) e com o modulo php-cgi activo (ainda menos).
Quando o router é comprometido o worm liga-se a um site e faz o download de outras vulnerabilidades antigas que afectam outros sistemas desactualizados (a falha ja foi corrigida á 18 meses) com outras arquicteturas (ARM, MIPS…) para atacar outros dispositivos na rede que tb estejam a correr o php-cgi visto que é aqui que está a vulnerabilidade. É assim que a segurança pode ficar comprometida noutros dispositivos não Intel.
Como podem ver são precisas mtas condições para o ataque ser bem sucedido. A symantec classifica o Linux.Darlloz de Risk Level 1: Very Low
Boas,
Não é coisa que nos vai afectar assim tanto quanto isso (mais fumo que fogo…) No entanto é algo que preocupa muitos investigadores na área de segurança. É que mesmo que os fabricantes façam o update de firmware quem é que os vai instalar? Talvez alguns leitores aqui do pplware porque viram a noticia, mas o router do utilizador que foi a um “supermercado” e comprou o wireless lá para casa nem suspeita que aquela caixa “mágica” tem algo chamado firmware.
Vírus para linux/unix no geral ainda não se “fabricam”, porém falhas de segurança existem MUITAS e se o pessoal não faz as actualizações…
Já agora uma pequena dica https://pplware.sapo.pt/linux/dd-wrt-torne-o-seu-router-wireless-mais-potente/ o post já é velhinho mas funciona, por exemplo para o meu router a última actualização foi em 22-04-2013 e só por curiosidade fui ao site do fabricante o frimware disponível é de 2011 e não tem um terço das funcionalidades.
+1
também tenho um a correr openwrt…
O firmware que esta no meu router adsl, é uma treta lol
cmps