image

Nieuwe Linux-worm kan routers en camera's aanvallen

woensdag 27 november 2013, 14:34 door Redactie, 4 reacties

Onderzoekers hebben een nieuwe Linux-worm ontdekt die naast computers ook routers, set-top boxes en beveiligingscamera's kan aanvallen. Volgens Symantec beseffen veel gebruikers niet dat ze risico lopen, omdat ze niet weten dat de apparaten die ze gebruiken op Linux draaien.

Deze apparaten zijn soms van een webserver of webgebaseerde gebruikersinterface voorzien. De Darlloz-worm is echter alleen nog tegen computers ingezet en niet tegen andere apparaten. Het exemplaar dat Symantec ontdekte gebruikt een ouder beveiligingslek in PHP uit mei 2012. De worm is gebaseerd op proof-of-conceptcode die eind oktober van dit jaar verscheen en misbruik van het lek maakt.

Verbinding

Zodra de worm actief is genereert die IP-adressen en maakt vervolgens met bekende gebruikersnamen en wachtwoorden verbinding. Ook wordt er een HTTP POST-request verstuurt dat misbruik van het beveiligingslek maakt. Als het doelwit een kwetsbare PHP-versie gebruikt wordt de worm gedownload en zoekt vervolgens naar het volgende doelwit.

Op dit moment kan de worm alleen Intel x86-systemen infecteren, maar de aanvaller zou op dezelfde server ook verschillende varianten voor andere architecturen hosten, waaronder ARM, PPC, MIPS en MIPSEL. Deze zijn echter nog niet in het wild aangetroffen.

Volgens Symantec spelen er twee problemen. Als eerste weten veel mensen niet dat er Linux op hun apparatuur geïnstalleerd is. Daarnaast zijn er niet altijd updates beschikbaar. Gebruikers krijgen het advies om indien mogelijk de software te updaten, sterkere wachtwoorden te kiezen en HTTP POST-requests naar bepaalde paden te blokkeren.

Reacties (4)
27-11-2013, 17:56 door vimes
De worm is nog niet in het wild waargenomen, maar het is wel een lastige, want updates voor embedded software zijn er vaak niet.
Meer info op http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices
27-11-2013, 20:04 door Anoniem
Een router gebaseerd op Linux dat komt veel voor, maar een die PHP gebruikt op de management pagina ken ik niet.

Iemand?
28-11-2013, 09:05 door Mysterio
Door Anoniem: Een router gebaseerd op Linux dat komt veel voor, maar een die PHP gebruikt op de management pagina ken ik niet.

Iemand?
En dan ook nog met een Intel x85 chipset... Het is in ieder geval duidelijk dat er wat onderzocht en ontwikkeld wordt op dat gebied en het is ook logisch aangezien het vaak de moeite loont om een nieuwe toegangsdeur te vinden.

Op dit moment vormt het nog geen risico, maar het zal me niets verbazen als in de toekomst aanvallen op bijvoorbeeld routers of modems vaker zullen voorkomen.
29-11-2013, 11:26 door wammus
Een PHP-lek staat toch los van het onderliggend OS. Je kan dat dus evengoed met een lekke PHP onder Windows servers tegenkomen ook dus, of niet soms...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.