Vidéo: Comment configurer et sécuriser son routeur Linksys WRT54G (Novembre 2024)
Un ver à auto-réplication exploite une vulnérabilité liée au contournement de l'authentification dans les routeurs domestiques et dans les petites entreprises de Linksys. Si vous avez l'un des routeurs E-Series, vous êtes à risque.
Le ver, surnommé "The Moon" en raison de références lunaires dans son code, ne fait pas grand-chose pour le moment au-delà de la recherche d'autres routeurs vulnérables et de la copie de lui-même, ont écrit des chercheurs sur le blog Internet Storm Center du SANS Institute la semaine dernière. À l'heure actuelle, on ignore ce que sont les données utiles ou s'il reçoit des commandes d'un serveur de commande et contrôle.
"Nous sommes au courant d'un ver qui se propage parmi différents modèles de routeurs Linksys", a écrit Johannes Ullrich, directeur technique de SANS, dans un article de blog. "Nous ne disposons pas d'une liste précise de routeurs vulnérables, mais les routeurs suivants peuvent l'être en fonction de la version du microprogramme: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Il a été signalé que les routeurs E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N et WRT150N sont également vulnérables.
"Linksys est au courant du programme malveillant appelé The Moon qui a affecté certains anciens routeurs Linksys série E et certains anciens points d'accès et routeurs Wireless-N", a écrit dans un blog Belkin, la société qui a acquis la marque Linksys de Cisco l'année dernière. poster. Un correctif de micrologiciel est prévu, mais aucun calendrier spécifique n’est disponible pour le moment.
Les attaques de la lune
Une fois sur un routeur vulnérable, le ver Moon se connecte au port 8080 et utilise le protocole HNAP (Home Network Administration Protocol) pour identifier la marque et le microprogramme du routeur compromis. Il exploite ensuite un script CGI pour accéder au routeur sans authentification et rechercher d'autres boîtes vulnérables. SANS estime que plus de 1 000 routeurs Linksys ont déjà été infectés.
Une preuve de concept ciblant la vulnérabilité dans le script CGI a déjà été publiée.
"Il analyse environ 670 plages IP différentes pour d'autres routeurs. Elles semblent appartenir à différents modem câble et fournisseurs de services Internet DSL. Elles sont réparties un peu partout dans le monde", a déclaré Ullrich.
Si vous remarquez une numérisation sortante importante sur les ports 80 et 8080 et des connexions entrantes sur des ports divers inférieurs à 1024, il est possible que vous soyez déjà infecté. Si vous lancez un ping sur echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHôte: test \ r \ n \ r \ n" nc routerip 8080 et obtenez une sortie XML HNAP, alors vous avez probablement un routeur vulnérable, a déclaré Ullrich.
Défenses contre la lune
Si vous avez l'un des routeurs vulnérables, vous pouvez suivre certaines étapes. Tout d'abord, les routeurs qui ne sont pas configurés pour l'administration à distance ne sont pas exposés, a déclaré Ullrich. Par conséquent, si vous n'avez pas besoin d'administration à distance, désactivez l'accès de la gestion à distance à partir de l'interface administrateur.
Si vous avez besoin d'une administration à distance, limitez l'accès à l'interface administrative par adresse IP afin que le ver ne puisse pas accéder au routeur. Vous pouvez également activer l'option Filtrer les requêtes Internet anonymes sous l'onglet Administration-Sécurité. Comme le ver se propage via les ports 80 et 8080, le changement du port de l'interface administrateur rendra également plus difficile la recherche du routeur par le ver, a déclaré Ullrich.
Les routeurs domestiques sont des cibles d'attaque populaires, car ce sont généralement des modèles plus anciens et que les utilisateurs ne restent généralement pas au courant des mises à jour de microprogrammes. Par exemple, des cybercriminels ont récemment piraté des routeurs domestiques et modifié les paramètres DNS pour intercepter les informations envoyées aux sites bancaires en ligne, selon un avertissement lancé plus tôt ce mois-ci par l'équipe polonaise d'intervention d'urgence en informatique (CERT Polska).
Belkin suggère également de mettre à jour le micrologiciel le plus récent afin de résoudre tous les problèmes non résolus.
