Posted by MinO | 0 comments

Ιός Linux χτυπάει routers, κάμερες και όχι μόνο

Disconnect
Δημοσιεύουμε την ακόλουθη είδηση, όπως αυτή δημοσιεύτηκε στο arstechnica, κρατώντας ωστόσο κάποιες επιφυλάξεις, καθώς στον χώρο της ασφάλειας παίζονται χοντρά παιχνίδια και χρήματα και οι τακτικές τις περισσότερες φορές είναι ύπουλες και όχι σπάνια ακούγονται πολλές υπερβολές, ασχέτως λειτουργικού συστήματος, ώστε να έχουν καποιο όφελος ορισμένοι:
Δυστυχώς, υπάρχουν πάρα πολλές συσκευές συνδεδεμένες στο Internet που τρέχουν παρωχημένο κώδικα.

Screenshot

Οι ερευνητές, λοιπόν, ανακάλυψαν Linux worm (σκουλήκι) ικανό να μολύνει πολλές οικιακές συσκευές που είναι συνδεδεμένες στο Internet, όπως routers, set-top boxes (δέκτες, μετασχηματιστές, αποκωδικοποιητές), κάμερες ασφαλείας.
Όπως έγραψε ο ερευνητής Symantec Kaoru Hayashi σε ένα δημοσίευμά του την Τετάρτη (27 Νοεμβρίου 2013),
Το Linux.Darlloz, όπως λέγεται το εν λόγω worm, έχει χαρακτηριστεί ως απειλή χαμηλού επιπέδου και αυτό συμβαίνει εν μέρει επειδή η τρέχουσα έκδοσή του στοχεύει μόνο σε συσκευές που τρέχουν σε CPUs (επεξεργαστές) της Intel.
Αλλά με μια μικρή τροποποίηση, το κακόβουλο λογισμικό θα μπορούσε να αρχίσει να χρησιμοποιείται και σε παραλλαγές της τρέχουσας έκδοσής του που ενσωματώνει ήδη διαθέσιμα εκτελέσιμα αρχεία format ELF που μολύνουν ένα πολύ ευρύτερο φάσμα συσκευών που είναι συνδεδεμένες με το ιντερνέτ. Στις συσκευές αυτές συμπεριλαμβάνονται και όσες τρέχουν chips της ARM αλλά και εκείνες που χρησιμοποιούν αρχιτεκτονικές PPC, MIPS και MIPSEL.
Όπως εξηγεί ο Hayashi,
Με την εκτέλεση, ο ιός δημιουργεί τυχαίες διευθύνσεις IP, αποκτά πρόσβαση σε μια συγκεκριμένη διαδρομή στο μηχάνημα με την γνωστή ταυτότητα (ID) και τους κωδικούς πρόσβασης και στέλνει αιτήσεις HTTP POST, που εκμεταλλεύονται την ευπάθεια. Αν ο στόχος -η συσκευή δηλαδή- είναι unpatched, τότε κατεβάζει/φορτώνει (download) το σκουλήκι από έναν κακόβουλο server (διακομιστή) και ξεκινά να αναζητά τον επόμενο στόχο του. Προς το παρόν, ο ιός τύπου worm φαίνεται να μολύνει μόνο συστήματα Intel x86 και αυτό γιατί η λήψη της διεύθυνσης URL στον κώδικα εκμεταλλεύεται τα αρχεία format ELF της Intel.
Screenshot-1
Ο ερευνητής είπε ακόμα ότι ο εισβολέας που κρύβεται πίσω από την έκδοση της Intel φιλοξενεί και αρχεία ELF που εκμεταλλεύονται τις αρχιτεκτονικές άλλων chips.

Ξεπερασμένος

Αν και δεν παρουσιάζει μεγάλη απειλή, το worm ονόματι Darlloz, καταδεικνύει ένα σημαντικό μειονέκτημα που ισχύει για τις περισσότερες συσκευές που συνδέονται στο Internet και τρέχουν Linux ή άλλα είδη λογισμικού Ανοιχτού Κώδικα που είναι απίστευτα παρωχημένος.
Και το χειρότερο; Πολλές συσκευές με σύνδεση στο Internet δεν μπορούν να κάνουν τις απαραίτητες ενημερώσεις αφού το hardware τους δεν μπορεί να χειριστεί τις απαιτήσεις των νεότερων εκδόσεων του κώδικα. Ως εκ τούτου, η πειρατεία (hijacking) σε μία από αυτές τις συσκευές γίνεται πολύ πιο εύκολη υπόθεση από ό,τι, αν θελήσουν, για παράδειγμα, να εκμεταλλευτούν μία ενημερωμένη έκδοση Linux, Windows ή OS X.
Ο ιός Darlloz εκμεταλλεύεται μια ευπάθεια της γλώσσας PHP για scripts που είχε επιδιορθωθεί πριν από 18 μήνες. Οι συσκευές που χρησιμοποιούν παλαιότερες εκδόσεις της PHP, η οποία δίνει τη δυνατότητα αλλαγών στη διαμόρφωση του interface, μπορεί να είναι ευάλωτες στην εν λόγω επίθεση. Με μικρές τροποποιήσεις, το worm θα μπορούσε δυνητικά να επαναπρογραμματιστεί για την αξιοποίηση δεκάδων τρωτών σημείων που ακόμα δεν έχουν βρει τον δρόμο τους στις συσκευές των χρηστών.
Όσοι, λοιπόν, θέλετε να ενισχύσετε την ασφάλεια των router σας αλλά και των άλλων συσκευών σας, πρέπει να το ψάχνετε πριν προχωρήσετε σε οποιαδήποτε αγορά και φυσικά να παίρνετε μόνον εργαλεία που μπορούν να ενημερωθούν εύκολα.
Τώρα, όσον αφορά τις υπάρχουσες συσκευές σας, να μην ξεχνάτε να κάνετε ενημέρωση στην τελευταία διαθέσιμη έκδοση, να αλλάζετε τους default κωδικούς (που έρχονται από προεπιλογή) και, όσο μπορείτε, να μπλοκάρετε τα εισερχόμενα αιτήματα POST και HTTP.

[via]

0 comments: