S-a descoperit un vierme (scris pentru router-ele Linksys) capabil să infecteze fără mari probleme orice aparat conectat la internet. Modelele expuse sunt E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000,E900. Așa că dacă aveți vreunul din modelele enumerate mai sus ar fi bine să citiți mai departe ca să nu vă pară rău ulterior.
Viermele se conectează pe portul 8080 ca să că ceară un URL “/HNAP1/”. Va primi o listă XML cu opțiunile router-ului și versiunea de firmware. Apoi extrage versiunea de firmware și dacă e vulnerabilă trimite un exploit cu script CGI și nici măcar nu e nevoie de autentificare pentru că ele nu sunt verificate de către router. Apoi e trimis viermele (are cam 2MB) și începe distracția: router-ul devine un BOT clasic ce încearcă să scaneze după alte victime pe care le va identifica și infecta dacă e posibil. Viermele are o listă cu 670 de rețele, se pare că sunt ale unor provideri din mai multe țări.
Un router infectat va fi folosit pe post de proxy și din server-ul său web se va putea descărca viermele către alte router-e infectate. Și bineînțeles, tot traficul prin router poate să fie redirecționat și interceptat – adică un terț poate să citească tot ceea ce se face pe net, inclusiv parole și numere de card.
Partea urâtă este că deocamdată nu se știe ce mai poate face viermele. Se pare că există o opțiune de tip command and control, nefolosită încă. Ca de obicei, când ceva nu e cunoscut 100% în domeniul malware-ului, situația nu e prea roză: e puțin probabil ca cineva să fi pierdut timpul să facă un astfel de vierme doar pentru că poate.
Cum puteți vedea dacă router-ul este infectat:
– trafic masiv prin router pe porturile 80 și 8080
– conexiune inbound pe porturi mai mici de 1024
via SANS
