Eine erste Warnung vor der Sicherheitslücke in einigen Linksys-Routern des Internet Storm Center (ICS) des Sans Institute belegt jetzt die Analyse des Quellcodes. Der als “The Moon” bezeichnete Wurm befällt Router von Linksys und verbreitet sich selbständig weiter.
Als Einfallstor für Malware fungiert dabei das HNAP (Home Network Administration Protocol), ein Verwaltungsprotokoll für Netzwerkgeräte, das offenbar vor allem von Internet Service Providern eingesetzt wird. Patentiert wurde es ursprünglich von Pure Networks, gehört inzwischen aber Cisco. Die Endverbrauchermarke Linksys wiederum wurde im vergangenen Jahr von Cisco an Belkin veräußert.
Die Verbreitung des Wurms führte das ICS auf ein unsicheres CGI-Script zurück, das zufällig gewählte Administrator-Anmeldedaten ohne Überprüfung akzeptierte. So wurde der Start eines einfachen Shell-Scripts möglich, das für das Nachladen des tatsächlichen Wurms mit einer Dateigröße von rund 2 MByte sorgte. Wurde dieser Code ausgeführt, schien der infizierte Router gezielt nach weiteren Opfern zu suchen.
Nicht eindeutig klären konnten die Sicherheitsexperten, ob der Wurm tatsächlich nur um seine eigene Verbreitung bemüht war, oder er dem Aufbau eines Botnetzes mit einem funktionierenden Kommando- und Befehlskanal diente. Einen Proof-of-Concept-Expoit veröffentlichte inzwischen der Nutzer Rew bei Exploit-db.com. Er rechtfertigte diesen Schritt mit einer Diskussion auf der Social-News-Site Reddit, dank derer “die Katze aus dem Sack” sei.
Der Exploit-Autor entnahm außerdem aus Strings der ursprünglichen “The Moon”-Malware eine Liste der mutmaßlich anfälligen Linksys-Router. Betroffen sind demnach Modelle der E-Serie wie E4200, E3200 und E3000, aber auch die Wireless-N-Produktlinie mit Modellbezeichnungen wie WAG32ON oder WRT610N.
Linksys-Besitzer Belkin bestätigte inzwischen, dass die Malware “bestimmte ältere Router und Access Points” angreifen kann. Der vom Wurm eingesetzte Exploit zur Umgehung der Admin-Authentifizierung funktioniere jedoch nur bei aktivierter Fernverwaltung. Belkins Kommunikationschefin Karen Sohl empfahl betroffenen Kunden, dieses Feature zu deaktivieren und anschließend einen Neustart des Routers zu veranlassen. Instruktionen dafür veröffentlichte Linksys auf seiner Website.
Laut Linksys ist der Fernzugriff bei den ausgelieferten Geräten standardmäßig nicht aktiviert. Der Hersteller arbeitet an einem Firmware-Fix für die betroffenen Produkte und will ihn innerhalb der nächsten Wochen auf seiner Website veröffentlichen.
[mit Material von Bernd Kling, ZDNet.de]
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.