Symantec: Linux.Darlloz nutzt CVE-2012-1823 (PHP ‘php-cgi’ Information Disclosure Vulnerability) aus und befällt Embedded Systeme

Kein Kommentar Autor: Jürgen (jdo)

Matrix Teaser 150x150Symantec hat einen böswilligen Wurm gefunden, der Linux-Systeme – in erster Linie Embedded Systeme – befällt. Das Ziel der Malware ist eigentlich alles, was eine IP-Adresse besitzt und mit dem Internet verbunden ist. Dazu gehören Home-Router, Kameras, Set-Top-Boxes, NAS-Geräte und was weiß ich noch alles.

Die Wurm nutzt eine Sicherheitslücke aus, die eigentlich schon vor über 1,5 Jahren geflickt wurde. Derzeit fokussiert sich die Malware auf x86-Architektur. Allerdings wurden auch schon Varianten für die Architekturen  ARM, PPC, MIPS und MIPSEL gefunden.

Der Schadcode versucht Geräte zu finden, die Standard-Login-Daten verwenden. Also admin / admin sollte man dann doch mal ändern. Weiterhin kann sich der Wurm selbst in ein System hacken. Er lädt sich auf ein Gerät herunter, generiert eine zufällige IP-Adresse und sucht nach dem nächsten Opfer. Im Moment scheint sich der Schadcode nur zu verbreiten und sonst nichts anderes zu tun.

Symantec hat ein paar Ratschläge, um vor Infizierungen sicher zu sein:

  1. Alle Geräte identifizieren, die mit dem Netzwerk verbunden sind
  2. Die Software auf die aktuelle Version bringen (Update!)
  3. Wenn vorhanden, die Security-Software auf den neueste Stand bringen
  4. Bessere Passwörter verwenden.
  5. Eintreffen HTTP-POST-Request blockieren, die die folgende Pfade auf dem Gateway ansprechen wollen (sofern nicht gebraucht natürlich):
    • /cgi-bin/php
    • -/cgi-bin/php5
    • -/cgi-bin/php-cgi
    • -/cgi-bin/php.cgi
    • -/cgi-bin/php4

Nun stellt sich aber auch immer die Frage, wie aktuell die letzten Firmware-Versionen der Hersteller sind. Manche Geräte sind uralt und da gibt es sicher keine aktuellen Updates mehr.  Aber wie gesagt: Auch starke Passwörter können schützen.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.