Linux: Les périphériques cachés visés par un ver

2 Décembre 2013 , Rédigé par nicko Publié dans #informatique

Source: symantec

Symantec a découvert un nouveau ver sur Linux. Le ver est capable d'attaquer une gamme de petits appareils, avec Internet en plus des ordinateurs traditionnels. Des variantes existent pour les architectures de circuits habituellement trouvés dans des dispositifs tels que les routeurs à la maison, terminaux numérique et caméras de sécurité. Bien qu'aucune des attaques contre ces dispositifs ont été trouvés dans la nature, de nombreux utilisateurs ne réalisent pas qu'ils sont à risque, car ils ne sont pas conscients qu'ils possèdent les appareils qui fonctionnent sous Linux.

Le ver,Linux.Darlloz , exploite une vulnérabilité de PHP pour se propager à l'état sauvage. Le ver utilise le PHP 'php-cgi' Information Disclosure Vulnerability (CVE-2012-1823), qui est une vieille vulnérabilité qui a été patché en mai 2012. L'attaquant a récemment créé le ver sur la base de la preuve de concept (PoC) du code publié en fin octobre 2013.

Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec ID et mots de passe bien connu, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité si la cible est non patché, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargé dans le code de l'exploit est codée en dur dans le binaire ELF pour les architectures Intel.

Linux est le système d'exploitation open source la plus connue et a été porté sur différentes architectures. Linux fonctionne pas uniquement sur les ordinateurs Intel, mais aussi sur de petits appareils avec différents processeurs, tels que les routeurs à domicile, décodeurs, caméras de sécurité, et même les systèmes de contrôle industriels. Certains de ces appareils fournissent une interface utilisateur basée sur le Web pour les réglages ou la surveillance, tels que les serveurs Web Apache et les serveurs PHP.

Nous avons également vérifié que l'attaquant accueille déjà quelques variantes pour d'autres architectures, y compris ARM, PPC, MIPS et PA-RISC sur le même serveur.

La valeur "e_machine" en-tête ELF indique le ver est pour l'architecture ARM.

Ces architectures sont principalement utilisés dans les types de dispositifs décrits ci-dessus. L'attaquant tente apparemment de maximiser les possibilités d'infection en élargissant la couverture de tous les appareils fonctionnant sous Linux. Cependant, nous n'avons pas encore confirmé les attaques contre les dispositifs non-PC.

Les vendeurs d'appareils avec des systèmes et des logiciels d'exploitation cachés, qui ont configuré leurs produits sans demander aux utilisateurs, ont compliqué les choses. De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux. Une autre question que nous pourrions faire face est que, même si les utilisateurs remarquent dispositifs vulnérables, aucune mise à jour ont été fournies à certains produits par le vendeur, en raison de la technologie ou de matériel limites dépassées, comme de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour soutenir la nouvelle les versions du logiciel.

Pour protéger contre l'infection par le ver, Symantec recommande aux utilisateurs de prendre les mesures suivantes:

Vérifier tous les appareils connectés au réseau
Mettre à jour leur logiciel vers la dernière version
Mettre à jour leur logiciel de sécurité quand il est mis sur leurs appareils
Faire des mots de passe de périphériques costaud
Bloquer les requêtes HTTP POST entrants vers les chemins d'accès suivants à la passerelle ou sur chaque appareil s'il n'est pas nécessaire: