آلوده شدن مسيرياب‌های Linksys با كرم 'The Moon'

شماره: IRCNE2014022102
تاريخ:27/11/92

يك برنامه مخرب با سوء استفاده از آسيب پذيري دور زدن تاييد هويت در نسخه هاي مختلف محصولات سري E توليدكننده Linksys، مسيرياب هاي اين شركت را آلوده كرده است.
هفته گذشته محققان مركز SANS هشدار دادند كه رخدادهايي در مسيرياب هاي E1000 و E1200 به وقع پيوسته است و اين مسيرياب ها در حال اسكن كردن آدرس IP هاي ديگر بر روي پورت هاي 80 و 8080 مي باشند. روز پنج شنبه محققان ISC گزارش دادند، بدافزاري را شناسايي كردند كه عامل رخداد اخير مسيرياب هاي Linksys بوده است.
به نظر مي رسد كه اين حملات بواسطه يك كرم صورت گرفته است كه با سوء استفاده از آسيب پذيري موجود در مسيرياب هاي Linksys در حال پيدا كردن دستگاه هاي آسيب پذير ديگر بوده است.
Johannes Ullrich، كارشناس ارشد فناوري در SANS ISC اظهار داشت كه در اين مرحله ما مطلع هستيم كرمي بر روي مدل هاي مختلف مسيرياب هاي Linksys در حال گسترش مي باشد. ما فهرست نهايي مسيرياب هاي آسيب پذير را در اختيار نداريم اما مسيرياب هاي E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900بنا به نسخه ميان افزارشان ممكن است آسيب پذير باشند.
اين كرم با نام 'The Moon' شناخته مي شود و با ارسال درخواست HNAP، نسخه ميان افزار و مدل مسيرياب را شناسايي مي كند. پروتكل HNAP پروتكا مديريتي شبكه خانگي است كه توسط شركت سيسكو طراحي شده است و اجازه مي دهد تا دستگاه هاي شبكه شناسايي، پيكربندي و مديريت شوند. اين كرم پس از شناسايي دستگاه، در صورتي كه تعيين كرد دستگاه مزبور آسيب پذير است درخواست ديگري را در قالب اسكريپت خاص CGI ارسال مي كند تا بتواند دستورات محلي را بر روي دستگاه اجرا نمايد.
اين كرم از آسيب پذيري موجود سوء استفاده مي كند تا يك فايل باينري در قالب ELF را بر روي دستگاه آسيب پذير دانلود و اجرا نمايد. زماني كه اين فايل بر روي مسير ياب جديدي اجرا مي شود، اين فايل باينري شبكه را به منظور آلوده كردن دستگاه هاي جديد اسكن مي كند.
در اين فايل باينري تعدادي رشته وجود دارد كه مشخص كننده يك سرور كنترل و فرمان است و مي تواند به عنوان يك تهديد بات نتي در نظر گرفته شود كه توسط مهاجمان از راه دور كنترل مي شود.
سخنگوي شركت Linksys از طريق يك پست الكترونيكي اعلام كرد كه اين شركت از وجود اين آسيب پذيري در برخي از مسيرياب هاي سري E باخبر است و درحال رفع مشكل مي باشد. او هم چنين به برخي از روش هاي كاهش خطر اشاره كرد. اول آنكه مسيرياب هايي كه براي مديريت از راه دور پيكربندي نشده اند نمي توانند به طور مستقيم هدف اين حمله قرار گيرند. اگر مسيريابي مي بايست از راه دور مديريت شود بايد براي كاهش خطر، دسترسي ها به واسط مديريتي را بوسيله آدرس IP محدود كرد. هم چنين تغيير پورت واسط به پورتي غير از 80 و 8080 مي تواند مانع از وقوع اين حمله شود.