The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выявлен червь, поражающий неисправленную уязвимость в маршру..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от opennews (??), 17-Фев-14, 23:54 
Центр противодействия угрозам в Интернет опубликовал (https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%...) предупреждение о выявлении активности сетевого червя, поражающего беспроводные маршрутизаторы Linksys. Используя для проникновения  неисправленную уязвимость червь получает управление на  устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.


Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов.


Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти (http://www.exploit-db.com/exploits/31683/) прототип эксплоита. Червь проникает в систему через эксплуатации уязвимости в одном из cgi-скриптов, доступных без аутентификации. Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):


<font color="#461b7e">
    echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
</font>

URL: https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%...
Новость: http://www.opennet.dev/opennews/art.shtml?num=39111

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +1 +/
Сообщение от Dimez (??), 18-Фев-14, 00:19 
Cisco, toWORMow starts here!
Ответить | Правка | Наверх | Cообщить модератору

3. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 00:27 
О, а сколько же дыр в "больших" Cisco? ;)
Ответить | Правка | Наверх | Cообщить модератору

4. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +37 +/
Сообщение от A.Stahl (ok), 18-Фев-14, 00:33 
В больших цисках дыр нет.
Там аккуратно проделанные лучшими инженерами и программистами отверстия. Слышите? Отверстия!
Ответить | Правка | Наверх | Cообщить модератору

6. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +3 +/
Сообщение от anonymous (??), 18-Фев-14, 00:56 
А я то думаю, кто же мне конфиг по ночам подправляет. А это американброзерс оказывается =)
Ответить | Правка | Наверх | Cообщить модератору

44. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 19-Фев-14, 05:12 
то-то Американские спецслужбы - устраивали травлю на топ-менеджмен ЦИско системз в ту пору, когда та пыталась сопротивляться "сотрудничеству".
и таки-да, не сомневайтесь - дырявое оно на%"%.
но с гламурными, аккуратными интерфейсами удобными API и с поддержкой всех четырех стандартизированных CALEA-интерфейсов для ретеншна данных для анализа.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

39. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноноим (?), 18-Фев-14, 19:33 
CISCO уже не при делах. Вините белкиных.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

42. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Dimez (ok), 18-Фев-14, 21:54 
Белкины, конечно же, виноваты в том, что выпускалось под цискиным крылом :)
Ответить | Правка | Наверх | Cообщить модератору

52. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от lk (?), 21-Фев-14, 02:53 
В нарушениях GPL случившихся в линксис до циски виновата была циска.
В дырах обнаруженных после циски тоже виновата циска.

А и действительно... гавкать на белкина как-то несолидно. Не то что на циску.

Ответить | Правка | Наверх | Cообщить модератору

5. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от klalafuda (?), 18-Фев-14, 00:39 
> The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL. This will return an XML formatted list of router features and firmware versions.
> Next, the worm will send an exploit to a vulnerable CGI script running on these routers.

Простите вы хотите сказать, что вот это все торчит в линксисе наружу в аплинк by default?

Ответить | Правка | Наверх | Cообщить модератору

13. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –4 +/
Сообщение от Lain_13 (ok), 18-Фев-14, 04:59 
Мозгов же не завезли самим правильно сделать или использовать OpenWRT.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от cmp (ok), 18-Фев-14, 11:16 
У нас пол города с дефолтными дсл модемами от ростелекома с учетками admin/admin наружу с белыми адресами, какие там дыры, какие уязвимости, пароль бы поменяли.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

30. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +3 +/
Сообщение от Михаил (??), 18-Фев-14, 12:54 
Нет, но если получили девайс от провайдера - там все может быть.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +2 +/
Сообщение от Xasd (ok), 18-Фев-14, 01:15 
приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)
Ответить | Правка | Наверх | Cообщить модератору

14. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от VolanD (ok), 18-Фев-14, 05:40 
> ванильном GNU/Linux-дистрибутиве :)

Это априори гарантирует вам безопасность?


Ответить | Правка | Наверх | Cообщить модератору

18. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +6 +/
Сообщение от an (??), 18-Фев-14, 08:50 
это гарантирует отсутствие веб-интерфейса :)
Ответить | Правка | Наверх | Cообщить модератору

19. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –1 +/
Сообщение от Аноним (-), 18-Фев-14, 08:51 
Безопастность никто не сможет гарантировать, но в данном случае, когда человек собрал и настроил себе систему сам, то он знает, какие компоненты использовались и соответственно имеет больший контроль над софтом, чем на сраном роутере с бекдорами от вендора.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

24. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Deq (?), 18-Фев-14, 10:55 
ну ну, знавали мы таких
Ответить | Правка | Наверх | Cообщить модератору

33. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 15:28 
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
> ванильном GNU/Linux-дистрибутиве :)

О каком роутере речь? И прошивка реально вами с 0 собранное окружение?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +3 +/
Сообщение от Xasd (ok), 18-Фев-14, 17:39 
>> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном
>> ванильном GNU/Linux-дистрибутиве :)
> О каком роутере речь? И прошивка реально вами с 0 собранное окружение?

какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd, openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все дела :)

Ответить | Правка | Наверх | Cообщить модератору

41. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –1 +/
Сообщение от Аноним (-), 18-Фев-14, 20:32 
> какая ещё прошивка? :) накатил Арчик на железку, установил туда: rp-pppoe, hostapd,
> openssh, dhcpcd, dhcp, radvd, и пару скриптов самописных. вот и все
> дела :)

На какое устройство вы его установили? Что используете в качестве роутера?

Ответить | Правка | Наверх | Cообщить модератору

34. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 15:45 
> ванильном GNU/Linux-дистрибутиве :)

Да можно и автомобиль самому в гараже собрать. Только долго и геморно.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

40. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Xasd (ok), 18-Фев-14, 19:52 
и дорого
Ответить | Правка | Наверх | Cообщить модератору

46. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 19-Фев-14, 06:49 
> и дорого

Ну это уже как повезет и смотря что включать в цену. К тому же если вы будете покупать штучный кастом по лично вашему заказу - будет еще в 5 раз дороже.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от SunXE (ok), 18-Фев-14, 16:40 
> приятно читать такие новости -- когда твои маршрутизаторы работают на обычном самонастроенном ванильном GNU/Linux-дистрибутиве :)

Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

47. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –1 +/
Сообщение от Аноним (-), 19-Фев-14, 06:50 
> Особенно если этот "ванильный GNU/Linux-дистрибутив" OpenBSD :)

А если к компьютеру 220 вольт не подключать - хакеры уж точно обломаются. С опенком стремно. Вдруг он все-таки каким-то чудом загрузится и даже сеть поднимет?!

Ответить | Правка | Наверх | Cообщить модератору

55. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 28-Июн-16, 19:33 
А за скушанный свет вы тоже сами платите? Как оно?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 01:34 
И при чём тут open source?
Ответить | Правка | Наверх | Cообщить модератору

10. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от IMHO (?), 18-Фев-14, 01:52 
новость для того, что бы бежать в opensource
"истории успеха" не только в опенсорс есть
Ответить | Правка | Наверх | Cообщить модератору

50. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 20-Фев-14, 02:39 
> И при чём тут open source?

При том, что при OpenWRT такой фигни не было.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +3 +/
Сообщение от Аноним (-), 18-Фев-14, 02:37 
WRT320N: снёс стандартную прошивку, поставил OpenWRT, не нарадуюсь.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –1 +/
Сообщение от freehckemail (ok), 18-Фев-14, 14:00 
Слитно.
Ответить | Правка | Наверх | Cообщить модератору

45. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 19-Фев-14, 06:33 
Dual Access / Russia L2TP и что бы переживало обновления ip от dhcp сервера провайдера, каждые полчаса, без разрыва l2tp есть?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 06:09 
Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!
Ответить | Правка | Наверх | Cообщить модератору

17. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  –1 +/
Сообщение от VolanD (ok), 18-Фев-14, 07:37 
> Не троллинга рад... Свой IP-шник под ddwrt (на dlink) сканирую, открыт порт
> 1720 tcp. Кто может гарантировать, что это не подобная дырк^W отверстие?!

Исходники же открыты, в опенкоде бекдоров быть не может! Ибо каждый адепт с утра до вечера их читает!!

Ответить | Правка | Наверх | Cообщить модератору

21. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Добрый доктор (?), 18-Фев-14, 10:10 
1720/tcp filtered H.323/Q.931
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от mickvav (?), 18-Фев-14, 10:17 
Весьма вероятно, что 1720-й порт это огрызок какого-нибудь h323/voip/..., которое вы в dd-wrt включили или не выключили.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +2 +/
Сообщение от Аноним (-), 18-Фев-14, 09:32 
Т.е. чтобы меня хакнули опять нужно открывать доступ к веб-морде из интернета? Блин, почему опять так сложно?
Ответить | Правка | Наверх | Cообщить модератору

23. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +1 +/
Сообщение от Ринальдус (ok), 18-Фев-14, 10:23 
>> echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

Ответить | Правка | Наверх | Cообщить модератору

27. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +1 +/
Сообщение от klalafuda (?), 18-Фев-14, 11:28 
> Мой роутер Linksys не помню какой модели ничего в ответ на эту строку не возвращает. Я защищен от червя?

Нет конечно. Скорее всего он просто выключен.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 17:24 
e3200 - эксплойт не пашет.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

26. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от siyanieoverip (?), 18-Фев-14, 11:23 
А без отключения RMA защититься от атаки никак нельзя?
Ответить | Правка | Наверх | Cообщить модератору

28. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Wulf (??), 18-Фев-14, 11:44 
> Нет конечно. Скорее всего он просто выключен.

Ответ неверен. Если он выключен, то 100% надежно защищен

Ответить | Правка | Наверх | Cообщить модератору

32. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от klalafuda (?), 18-Фев-14, 15:24 
> Ответ неверен. Если он выключен, то 100% надежно защищен

Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

Ответить | Правка | Наверх | Cообщить модератору

35. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 18-Фев-14, 15:49 
> Даже выключенный сервер можно с легкостью уронить причинив этим ощутимый ущерб

Роутеры легкие, чтобы их так уронить - надо еще постараться.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 19-Фев-14, 13:42 
> Если он выключен, то 100% надежно защищен

Нет, пока он не заперт в герметичном помещении с бетонными стенами и к нему не приставлен вооруженный караул. Но и тогда сомнения не оставляют меня.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +1 +/
Сообщение от Дум Дум (?), 19-Фев-14, 09:15 
"Выявлен червь, _поражающий_неисправленную_уязвимость_ в маршрутизаторах Linksys". Червь - Робин-Гуд... Обожаю%)
Ответить | Правка | Наверх | Cообщить модератору

51. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от viemail (?), 20-Фев-14, 12:10 
Да, да! :D
Суперполезный червь-то оказывается! Ищет уязвимости, поражает их и дальше маршрутизатор работает без уязвимостей!
Ответить | Правка | Наверх | Cообщить модератору

53. "Выявлен червь, поражающий неисправленную уязвимость в маршру..."  +/
Сообщение от Аноним (-), 09-Мрт-14, 11:54 
На сайте linksys так и нет обновления прошивки :(
Ответить | Правка | Наверх | Cообщить модератору

54. "Проверка червя"  +/
Сообщение от Анонимemail (54), 04-Апр-15, 14:39 
А как эту команду на windows ввести?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру