LINKSYS در حال ایجاد نرم افزاری ثابت در تقابل با کرم TheMoon
موسسه خبری سایبربان: مرکز تحقیقاتی اینترنتی SANS، هشداری در مورد ویروس جدیدی که تنها روترهای خاصی از LINKSYS را هدف قرار میدهد صادر کرده است. این ویروس که "TheMoon" نامیده میشود، حاوی تصاویری از فیلمی با همین نام میباشد که برای بهره برداری از آسیب پذیری در دستگاه طراحی شده است.
هنگامی که این ویروس دستگاهی را آلوده میکند، اطلاعات روتر هدف قرار داده شده از جمله نسخههای سخت افزاری و سیستم عامل دستگاه را جمع آوری میکند. سپس آن را برای بهره برداری به یک اسکریپت CGI آسیب پذیر ارسال میکند.
یوهانس اولریش، کارشناس امنیتی که این کرم را شناسایی کرده، در این ارتباط توضیح میدهد که این درخواست نیازی به تصدیق هویت ندارد. این کرم اعتبارات مدیریتی را بصورت تصادفی ارسال میکند، اما توسط اسکریپت بررسی نمیشوند. LINKSYS نیز از این آسیب پذیری آگاه است.
درخواست دوم یک اسکریپت ساده را راه اندازی میکند، که کرم واقعی را درخواست میکند. اندازه این کرم در حدود 2 مگابایت میباشد.
به محض این که این عمل انجام شد، روتر آلوده منطقه را برای دیگر قربانیان احتمالی اسکن میکند. تا به الان، کارشناسان قادر به پیدا کردن کانال فرماندهی و کنترل برای TheMoon نبوده اند، اما نشانه هایی وجود دارد که احتمال میرود این تهدید متعلق به یک ربات باشد.
یک کارشناس امنیتی با اثبات مفهوم توسعه یافته ای از این آسیب پذیری بیان میکند که تعداد زیادی از مدلها با یکدیگر در ارتباط هستند، از جمله E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000، E900، E300، WAG320N، WAP300N، WAP610N، WES610N، WET610N، WRT610N، WRT600N، WRT400N، WRT320N، WRT160N و WRT150N.
بلکین، مالک LINKSYS، به سرویس خبری IDG گفت که آنها از وجود کرم TheMoon آگاه میباشند. این شرکت میگوید که بر روی یک سیستم عامل جدیدی کار میکند که برای رسیدگی به آسیب پذیری مذکور در نظر گرفته شده است.
با این حال، بلکین روشن ساخته که بهره برداری قویتری توسط این کرم فقط در صورتی امکان پذیر است که قابلیت دسترسی به مدیریت از راه دور فعال باشد. این قابلیت به طور پیش فرض غیر فعال است.
تا زمانی که رفع این نقص امنیتی بطور کامل در دسترس قرار گیرد، صاحبان روترهای فوق میتوانند از شبکههای خود با غیرفعال کردن دسترسی مدیریتی از راه دور، محافظت کنند./
هنگامی که این ویروس دستگاهی را آلوده میکند، اطلاعات روتر هدف قرار داده شده از جمله نسخههای سخت افزاری و سیستم عامل دستگاه را جمع آوری میکند. سپس آن را برای بهره برداری به یک اسکریپت CGI آسیب پذیر ارسال میکند.
یوهانس اولریش، کارشناس امنیتی که این کرم را شناسایی کرده، در این ارتباط توضیح میدهد که این درخواست نیازی به تصدیق هویت ندارد. این کرم اعتبارات مدیریتی را بصورت تصادفی ارسال میکند، اما توسط اسکریپت بررسی نمیشوند. LINKSYS نیز از این آسیب پذیری آگاه است.
درخواست دوم یک اسکریپت ساده را راه اندازی میکند، که کرم واقعی را درخواست میکند. اندازه این کرم در حدود 2 مگابایت میباشد.
به محض این که این عمل انجام شد، روتر آلوده منطقه را برای دیگر قربانیان احتمالی اسکن میکند. تا به الان، کارشناسان قادر به پیدا کردن کانال فرماندهی و کنترل برای TheMoon نبوده اند، اما نشانه هایی وجود دارد که احتمال میرود این تهدید متعلق به یک ربات باشد.
یک کارشناس امنیتی با اثبات مفهوم توسعه یافته ای از این آسیب پذیری بیان میکند که تعداد زیادی از مدلها با یکدیگر در ارتباط هستند، از جمله E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000، E900، E300، WAG320N، WAP300N، WAP610N، WES610N، WET610N، WRT610N، WRT600N، WRT400N، WRT320N، WRT160N و WRT150N.
بلکین، مالک LINKSYS، به سرویس خبری IDG گفت که آنها از وجود کرم TheMoon آگاه میباشند. این شرکت میگوید که بر روی یک سیستم عامل جدیدی کار میکند که برای رسیدگی به آسیب پذیری مذکور در نظر گرفته شده است.
با این حال، بلکین روشن ساخته که بهره برداری قویتری توسط این کرم فقط در صورتی امکان پذیر است که قابلیت دسترسی به مدیریت از راه دور فعال باشد. این قابلیت به طور پیش فرض غیر فعال است.
تا زمانی که رفع این نقص امنیتی بطور کامل در دسترس قرار گیرد، صاحبان روترهای فوق میتوانند از شبکههای خود با غیرفعال کردن دسترسی مدیریتی از راه دور، محافظت کنند./
