Nenavaden črv napada Linksysove usmerjevalnike

Po internetu se je začel širiti zelo nenavaden črv, ki cilja na Linksysove usmerjevalnike in za zdaj ne počne nič drugega, razen da se širi karseda hitro. Črv napada številne modele Linksysovih usmerjevalnikov (potrjeno E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900 ter nekateri WRT in Valet), pri čemer pa so usmerjevalniki z najnovejšo strojno programsko opremo (firmware) varni (različica 2.0.06). Nekateri modeli so sicer že tako stari, da niso več podprti in morajo uporabljati starejše, ranljive verzije.

Črva so odkrili pri ponudniki dostopa do interneta v Wyomingu, ker je črv zasedel vse razpoložljive kapacitete in upočasnil njihovo omrežje. Ko črv okuži usmerjevalnik, začne prek vrat 8080 in 80 preverjati, ali so na internetu drugi usmerjevalniki, ki bi jih lahko okužil. Nanje se priključi z zlorabo HNAP (Home Network Administration Protocol), ki je namenjen oddaljenim posodobitvam in konfiguriranju usmerjevlaniku, ki jih izvaja lokalni ponudnik dostopa do interneta. Črv s preverjanjem, na katerih naslovih dobi odgovor na zahtevke po povezavi HNAP, ugotovi, kje so še ostali usmerjevalniki. Nanje se potem poveže prek ranljivosti v eni izmed CGI-skript.

Ko črv okuži usmerjevalnik, za zdaj nima zločestih namenov, čeprav ima nekaj vnosov, ki bi lahko kazali na klicanje krmilno-nadzornih strežnikov. Večino svojega časa preživi v iskanju drugih usmerjevalnikov (išče v 670 omrežjih, ki pripadajo ISP-jem v več državah), ki bi jih še lahko okužil. Sicer pa nastavi DNS-strežnike na 8.8.8.8 in 8.8.4.4. To so IP-ji Googlovih javnih DNS-strežnikov. Zakaj to stori, ni jasno. Ker črv vsebuje nekaj slik iz filma The Moon, se ga je prijelo isto ime. Ponovni zagon usmerjevalnika okužbo odstrani. Raziskovalci si še belijo glavo z vprašanjem, čemu služi ta črv in kaj se z njim preizkuša. Morebiti gre namreč za generalko pred resnim napadom.

Da je vaš usmerjevalnik okužen, lahko spoznate po visokem izhodnem prometu na vratih 8080 in 80 ter nenavadnih vhodnih povezavah na vratih, ki so manjša od 1024. Ranljivost pa lahko preverite s spodnjim ukazom. Če vrne ustrezen odziv v formatu XML, je usmerjevalnik potencialno ranljiv.

echo "GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n" | nc routerip 8080