image

Exploit waarmee worm Linksys-routers infecteert online

zondag 16 februari 2014, 10:06 door Redactie, 4 reacties
Laatst bijgewerkt: 16-02-2014, 13:00

De exploit waarmee een worm op dit moment allerlei Linksys-routers infecteert is online gezet, wat de kans op misbruik vergroot. De worm werd onlangs door een Amerikaanse internetprovider ontdekt, nadat de routers van verschillende klanten besmet waren geraakt.

Eenmaal overgenomen worden de routers gebruikt voor het uitvoeren van scans op poort 80 en 8080, waarbij alle beschikbare bandbreedte wordt gebruikt. De worm maakt verbinding met poort 8080, al dan niet via SSL. Vervolgens wordt de "/HNAP1/" URL opgevraagd, die een lijst met routerfeatures en firmwareversies oplevert. Hierna stuurt de worm een exploit naar een kwetsbaar CGI-script dat op deze routers draait en waarvoor geen authenticatie is vereist.

Exploit

Volgens berichten op Reddit maakt de worm gebruik van zeer eenvoudige 'blind command injection' om een script op de router uit te voeren dat vervolgens de worm downloadt. De exploit die de worm gebruikt is nu in aangepaste vorm door een lezer van Reddit online gezet. De aanpassing moet ervoor zorgen dat de exploit niet meteen voor het aanvallen van Linksys-routers te gebruiken is.

Deze lezer merkt echter ook op dat het vrij eenvoudig is om zijn exploit aan te passen zodat Linksys-routers wel aangevallen kunnen worden. De exploit richt zich op een CGI-bestand genaamd tmUnblock.cgi. Volgens een andere lezer op Reddit zou 'tm' mogelijk voor Trend Micro kunnen staan, waardoor de exploit tegen alle routers met Trend Micro-integratie zou kunnen werken. Dit is op het moment echter onbevestigd.

Aangevallen netwerken

Het Internet Storm Center (ISC) dat de worm analyseerde heeft een lijst online gezet met netwerken die de worm aanvalt. TheMoon, zoals de worm wordt genoemd, gebruikt een lijst van ruim 600 verschillende netwerken, die allemaal met kabel- en DSL-modems van internetproviders in verschillende landen te maken hebben, om naar kwetsbare routers te zoeken.

Het is echter nog steeds onduidelijk welke modellen allemaal kwetsbaar zijn en wat gebruikers kunnen doen om zich tegen de worm te beschermen. Het ISC laat wel weten dat het probleem alleen standaard Linksys-routers treft en dat routers waar OpenWRT op is geïnstalleerd niet kwetsbaar zijn. OpenWRT is een alternatief routerbesturingssysteem,

Update 13:00

Belkin, dat de eigenaar van Linksys is, laat tegenover Tweakers.net weten dat het probleem alleen speelt bij gebruikers die op de router 'Remote Management' hebben ingeschakeld. Een update die misbruik van de functie tegen gaat moet de komende weken verschijnen.

Reacties (4)
16-02-2014, 13:08 door backeroni
Het ISC laat wel weten dat het probleem alleen standaard Linksys-routers treft en dat routers waar OpenWRT op is geïnstalleerd niet kwetsbaar zijn. OpenWRT is een alternatief routerbesturingssysteem,

En in een ander bericht lees ik weer: Botnet infecteert DD-WRT- en OpenWRT-routers:
https://www.security.nl/posting/378504/Botnet+infecteert+DD-WRT-+en+OpenWRT-routers

Gaat lekker zo...
16-02-2014, 13:32 door Anoniem
Nu weet ik waar die requests voor /HNAP1 in mijn access log vandaan komen.
16-02-2014, 14:50 door [Account Verwijderd]
[Verwijderd]
17-02-2014, 10:53 door Anoniem
Door Peter V.:
Door Anoniem: Nu weet ik waar die requests voor /HNAP1 in mijn access log vandaan komen.
Ik neem even aan dat je een Linksys hebt? Als die kwetsbaar is moet je zo snel als mogelijk iets aan doen.
Ik neem aan dat de poster inkomende requests krijgt, en dan is er dus weinig aan de hand...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.