Robak Darlloz bierze na celownik urządzenia z wbudowanym Linuksem

W marcu tego roku opublikowano dokument pt. Internet Census 2012, podsumowujący stan infrastruktury Sieci. Dokumentów takich każdego roku powstaje całkiem sporo, ten wyróżniał się jednak zastosowaną metodą badawczą: anonimowy autor raportu stworzył oprogramowanie, które przejmowało kontrolę nad znalezionymi w Sieci źle zabezpieczonymi urządzeniami z adresem IP, zamieniając je w węzły ogromnego (w końcowej fazie zarażonych zostało 420 tys. maszyn) botnetu, służącego do skanowania Internetu. W swoim raporcie badacz podkreślił, że choć udostępnia kompletny zbiór pozyskanych w ten sposób danych (i faktycznie, na torrentach pojawiło się archiwum o „skromnych” rozmiarach 565 GB), to nigdy nie udostępni samego botnetu, gdyż zbyt duże jest ryzyko wykorzystania go przez cyberprzestępców. Cóż, cyberprzestępcy poradzili sobie i bez tego – w Sieci pojawił się nowy robak, zainteresowany nie komputerami czy telefonami, ale sprzętem, którego na co dzień nie zauważamy.

O robaku, który otrzymał nazwę Linux.Darlloz, pierwsi donieśli badacze Symanteka. Kaoru Hayashi z tej firmy wyjaśnia, że szkodnik losowo generuje adresy IP, a następnie próbuje uzyskać dostęp do konkretnych ścieżek na atakowanych maszynach, wykorzystując popularne kombinacje loginów i haseł, a gdy się to uda, wysyła żądanie HTTP POST, by pobrać na urządzenie kod robaka i uruchomić go, korzystając z dobrze znanego exploita w PHP, załatanego już półtora roku temu (wiele takich urządzeń korzysta z PHP do „napędzania” ich webowego panelu konfiguracyjnego).

Ale co po istnieniu łatki, skoro maszyny, którymi Darlloz się interesuje, to routery, dyski sieciowe, kamery telewizji przemysłowej, telewizyjne settop boksy, praktycznie wszystko, co działa pod kontrolą nigdy nie aktualizowanych wersji Linuksa. Firmware takiego sprzętu pozostaje bez zmian przez cały jego cykl życia, czy to ze względów ekonomicznych (marża producenta jest tak mała, że nie opłaca się mu wydawać poprawek do oprogramowania), czy też ze względów technicznych (nowe wersje oprogramowania mają zbyt duże wymagania, więc pozostaje się przy starych).

Na drodze do rozpowszechnienia się robaka mogłaby stać rozmaitość architektur sprzętowych, wykorzystywanych w takich urządzeniach – niestety jednak jego twórcy przewidzieli ten problem, i przygotowali cały zestaw binarek w formacie ELF, skompilowanych na różne procesory. Badacze Symanteca natrafili co prawda tylko na wersję atakującą systemy z procesorami x86, ale jak twierdzi Hayashi, na swoich serwerach napastnicy utrzymują też wersje dla architektur ARM, PPC, MIPS i MIPSEL. Przy niewielkich przeróbkach, robak byłby więc w stanie infekować praktycznie wszystkie linuksowe urządzenia, wykorzystując w tym celu cały zbiór podatności, które na linuksowych desktopach i serwerach są już od lat załatane.

Symantec podkreśla, że jeśli nie możemy zaktualizować firmware'u naszego urządzenia, to konieczne jest przynajmniej zmienienie jego domyślnych haseł, a także zablokowanie wywołań HTTP POST, które odnosiłyby się do interpretera PHP. Oczywiście nie ma co liczyć na to, że miliony posiadaczy tego typu urządzeń w ogóle będą wiedziały jak i po co to zrobić – dla typowego użytkownika router czy settop box to przecież nie komputery, lecz tylko takie sobie pudełeczka, działające praktycznie automatycznie.

Za: dobreprogramy.pl