Onderzoekers hebben een nieuwe Linux-worm ontdekt die naast computers ook routers, set-top boxes en beveiligingscamera's kan aanvallen. Volgens Symantec beseffen veel gebruikers niet dat ze risico lopen, omdat ze niet weten dat de apparaten die ze gebruiken op Linux draaien.

Deze apparaten zijn soms van een webserver of webgebaseerde gebruikersinterface voorzien. De Darlloz-worm is echter alleen nog tegen computers ingezet en niet tegen andere apparaten. Het exemplaar dat Symantec ontdekte gebruikt een ouder beveiligingslek in PHP uit mei 2012. De worm is gebaseerd op proof-of-conceptcode die eind oktober van dit jaar verscheen en misbruik van het lek maakt.

Verbinding

Zodra de worm actief is genereert die IP-adressen en maakt vervolgens met bekende gebruikersnamen en wachtwoorden verbinding. Ook wordt er een HTTP POST-request verstuurt dat misbruik van het beveiligingslek maakt. Als het doelwit een kwetsbare PHP-versie gebruikt wordt de worm gedownload en zoekt vervolgens naar het volgende doelwit.

Op dit moment kan de worm alleen Intel x86-systemen infecteren, maar de aanvaller zou op dezelfde server ook verschillende varianten voor andere architecturen hosten, waaronder ARM, PPC, MIPS en MIPSEL. Deze zijn echter nog niet in het wild aangetroffen.

Volgens Symantec spelen er twee problemen. Als eerste weten veel mensen niet dat er Linux op hun apparatuur geïnstalleerd is. Daarnaast zijn er niet altijd updates beschikbaar. Gebruikers krijgen het advies om indien mogelijk de software te updaten, sterkere wachtwoorden te kiezen en HTTP POST-requests naar bepaalde paden te blokkeren.