Video: hoy la superluna, y el inicio del fin 2020 2050 (Noviembre 2024)
Un gusano autorreplicante está explotando una vulnerabilidad de omisión de autenticación en los enrutadores domésticos y de pequeñas empresas de Linksys. Si tiene uno de los enrutadores de la serie E, está en riesgo.
El gusano, denominado "La Luna" debido a las referencias lunares en su código, no está haciendo mucho en este momento más allá de buscar otros enrutadores vulnerables y hacer copias de sí mismo, escribieron los investigadores en el blog del Centro de tormentas por Internet del Instituto SANS la semana pasada. No está claro en este momento cuál es la carga útil o si está recibiendo comandos de un servidor de comando y control.
"En este momento, somos conscientes de un gusano que se está extendiendo entre varios modelos de enrutadores Linksys", escribió Johannes Ullrich, director de tecnología de SANS, en una publicación de blog. "No tenemos una lista definida de enrutadores que sean vulnerables, pero los siguientes enrutadores pueden ser vulnerables según la versión del firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900". Hay informes de que los enrutadores E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N y WRT150N también son vulnerables.
"Linksys está al tanto del malware llamado The Moon que ha afectado a enrutadores más antiguos de la serie E de Linksys y a enrutadores y puntos de acceso inalámbricos N más antiguos", escribió en un blog Belkin, la compañía que adquirió la marca Linksys de Cisco el año pasado. enviar. Se planea una corrección de firmware, pero no hay un horario específico disponible en este momento.
Los ataques de la luna
Una vez en un enrutador vulnerable, el gusano Moon se conecta al puerto 8080 y usa el Protocolo de administración de red doméstica (HNAP) para identificar la marca y el firmware del enrutador comprometido. Luego explota un script CGI para acceder al enrutador sin autenticación y buscar otros cuadros vulnerables. SANS estima que más de 1, 000 enrutadores Linksys ya han sido infectados.
Ya se ha publicado una prueba de concepto dirigida a la vulnerabilidad en el script CGI.
"Hay alrededor de 670 rangos de IP diferentes que escanea para otros enrutadores. Parece que todos pertenecen a diferentes módems de cable e ISP DSL. Están distribuidos de alguna manera en todo el mundo", dijo Ullrich.
Si observa un escaneo saliente intenso en los puertos 80 y 8080 y conexiones entrantes en puertos varios inferiores a 1024, es posible que ya esté infectado. Si hace ping a "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 y obtiene una salida XML HNAP, entonces probablemente tenga un enrutador vulnerable, dijo Ullrich.
Defensas contra la luna
Si tiene uno de los enrutadores vulnerables, hay algunos pasos que puede seguir. En primer lugar, los enrutadores que no están configurados para la administración remota no están expuestos, dijo Ullrich. Por lo tanto, si no necesita administración remota, desactive el acceso de administración remota desde la interfaz del administrador.
Si necesita una administración remota, restrinja el acceso a la interfaz administrativa por dirección IP para que el gusano no pueda acceder al enrutador. También puede habilitar Filtrar solicitudes anónimas de Internet en la pestaña Administración-Seguridad. Dado que el gusano se propaga a través del puerto 80 y 8080, cambiar el puerto para la interfaz del administrador también dificultará que el gusano encuentre el enrutador, dijo Ullrich.
Los enrutadores domésticos son objetivos de ataque populares, ya que generalmente son modelos más antiguos y los usuarios generalmente no están al tanto de las actualizaciones de firmware. Por ejemplo, los ciberdelincuentes han pirateado recientemente los enrutadores domésticos y han cambiado la configuración de DNS para interceptar la información enviada a los sitios de banca en línea, según una advertencia a principios de este mes del Equipo Polaco de Respuesta a Emergencias Informáticas (CERT Polska).
Belkin también sugiere actualizar al último firmware para conectar cualquier otro problema que pueda estar sin parchear.
