کرم ‘The Moon’

/ / شبکه و امنیت شبکه

یک برنامه مخرب با سوء استفاده از آسیب پذیری دور زدن تایید هویت در نسخه های مختلف محصولات سری E تولیدکننده Linksys، مسیریاب های این شرکت را آلوده کرده است.
هفته گذشته محققان مرکز SANS هشدار دادند که رخدادهایی در مسیریاب های E1000 و E1200 به وقع پیوسته است و این مسیریاب ها در حال اسکن کردن آدرس IP های دیگر بر روی پورت های ۸۰ و ۸۰۸۰ می باشند. روز پنج شنبه محققان ISC گزارش دادند، بدافزاری را شناسایی کردند که عامل رخداد اخیر مسیریاب های Linksys بوده است.

به نظر می رسد که این حملات بواسطه یک کرم صورت گرفته است که با سوء استفاده از آسیب پذیری موجود در مسیریاب های Linksys در حال پیدا کردن دستگاه های آسیب پذیر دیگر بوده است.

Johannes Ullrich، کارشناس ارشد فناوری در SANS ISC اظهار داشت که در این مرحله ما مطلع هستیم کرمی بر روی مدل های مختلف مسیریاب های Linksys در حال گسترش می باشد. ما فهرست نهایی مسیریاب های آسیب پذیر را در اختیار نداریم اما مسیریاب های E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900بنا به نسخه میان افزارشان ممکن است آسیب پذیر باشند.

zdnet-linksys-cisco-e-series_family_front

این کرم با نام ‘The Moon’ شناخته می شود و با ارسال درخواست HNAP، نسخه میان افزار و مدل مسیریاب را شناسایی می کند. پروتکل HNAP پروتکا مدیریتی شبکه خانگی است که توسط شرکت سیسکو طراحی شده است و اجازه می دهد تا دستگاه های شبکه شناسایی، پیکربندی و مدیریت شوند. این کرم پس از شناسایی دستگاه، در صورتی که تعیین کرد دستگاه مزبور آسیب پذیر است درخواست دیگری را در قالب اسکریپت خاص CGI ارسال می کند تا بتواند دستورات محلی را بر روی دستگاه اجرا نماید.

این کرم از آسیب پذیری موجود سوء استفاده می کند تا یک فایل باینری در قالب ELF را بر روی دستگاه آسیب پذیر دانلود و اجرا نماید. زمانی که این فایل بر روی مسیر یاب جدیدی اجرا می شود، این فایل باینری شبکه را به منظور آلوده کردن دستگاه های جدید اسکن می کند.

در این فایل باینری تعدادی رشته وجود دارد که مشخص کننده یک سرور کنترل و فرمان است و می تواند به عنوان یک تهدید بات نتی در نظر گرفته شود که توسط مهاجمان از راه دور کنترل می شود.

سخنگوی شرکت Linksys از طریق یک پست الکترونیکی اعلام کرد که این شرکت از وجود این آسیب پذیری در برخی از مسیریاب های سری E باخبر است و درحال رفع مشکل می باشد. او هم چنین به برخی از روش های کاهش خطر اشاره کرد. اول آنکه مسیریاب هایی که برای مدیریت از راه دور پیکربندی نشده اند نمی توانند به طور مستقیم هدف این حمله قرار گیرند. اگر مسیریابی می بایست از راه دور مدیریت شود باید برای کاهش خطر، دسترسی ها به واسط مدیریتی را بوسیله آدرس IP محدود کرد. هم چنین تغییر پورت واسط به پورتی غیر از ۸۰ و ۸۰۸۰ می تواند مانع از وقوع این حمله شود.