一种自我复制蠕虫正在利用Linksys家用和小型企业路由器中的身份验证绕过漏洞。 如果您拥有E系列路由器之一,则存在风险。
研究人员上周在SANS研究所的Internet Storm Center博客上写道,由于蠕虫代码中的月球引用,该蠕虫目前除了扫描其他易受攻击的路由器并对其进行复制外,并没有做其他任何事情。 目前尚不清楚有效载荷是什么,或者它是否正在从命令与控制服务器接收命令。
SANS首席技术官Johannes Ullrich在博客中写道:“目前,我们已经知道蠕虫正在Linksys路由器的各种型号中传播。” “我们没有易受攻击的路由器的确切列表,但是以下路由器可能会受到攻击,具体取决于固件版本:E4200,E3200,E3000,E2500,E2100L,E2000,E1550,E1500,E1200,E1000,E900。” 有报道称E300,WAG320N,WAP300N,WES610N,WAP610N,WRT610N,WRT400N,WRT600N,WRT320N,WRT160N和WRT150N路由器也容易受到攻击。
去年从思科手中收购Linksys品牌的公司Belkin写道:“ Linksys意识到名为The Moon的恶意软件,该恶意软件已经影响了某些旧版Linksys E系列路由器以及某些旧版Wireless-N接入点和路由器。”发布。 已计划进行固件修复,但是目前没有特定的时间表。
月球袭击
一旦放在有漏洞的路由器上,Moon蠕虫就会连接到端口8080,并使用家庭网络管理协议(HNAP)来识别受感染路由器的品牌和固件。 然后,它利用CGI脚本在不进行身份验证的情况下访问路由器,并扫描其他易受攻击的设备。 SANS估计已经感染了1, 000多台Linksys路由器。
针对CGI脚本中漏洞的概念证明已经发布。
乌尔里希说:“它会扫描大约670个不同的IP范围,以寻找其他路由器。它们似乎都属于不同的电缆调制解调器和DSL ISP。它们分布在世界各地。”
如果您注意到端口80和8080的大量出站扫描以及低于1024的其他端口上的入站连接,则可能已被感染。 如果您 回显“ GET / HNAP1 / HTTP / 1.1 \ r \ nHost:test \ r \ n \ r \ n” nc 路由器 IP 8080 并获取XML HNAP输出,那么您可能有一个易受攻击的路由器,Ullrich说。
月亮防御
如果您有一个易受攻击的路由器,则可以采取一些步骤。 首先,未配置用于远程管理的路由器不会暴露,Ullrich说。 因此,如果您不需要远程管理,请从管理员界面关闭“远程管理访问”。
如果确实需要远程管理,请按IP地址限制对管理界面的访问,以使蠕虫无法访问路由器。 您还可以在“管理”-“安全性”选项卡下启用“过滤匿名Internet请求”。 由于蠕虫通过端口80和8080传播,因此更改管理员界面的端口也将使蠕虫更难找到路由器。
家用路由器是受欢迎的攻击目标,因为它们通常是较旧的型号,并且用户通常不关注固件更新。 例如,根据波兰计算机紧急响应小组(CERT Polska)本月早些时候的警告,网络罪犯最近侵入了家用路由器,并更改了DNS设置以拦截发送到在线银行站点的信息。
Belkin还建议更新到最新固件,以插入可能未解决的任何其他问题。
