Linux.Darlloz php sérülékenység, HTTP POST támadás

Linux.Darlloz php sérülékenység, HTTP POST támadás

A Linuxot futtató különféle eszközökre specializálódott férget fedeztek fel a Symantec szakértői. A kártevő a PC-ken kívül olyan készülékeket is képes fertőzni, amelyeken Linux fut, ilyenek lehetnek például az otthoni hálózati berendezések, routerek, hálózati adattárolók vagy biztonsági kamerák.

A Linux.Darlloz névre keresztelt féreg a PHP sebezhetőségén keresztül terjed. A kód egy 2013 októberében publikált “proof of concept” támadókódra épül, amely egy 2012-ben nyilvánosságra hozott és tavaly májusban be is foltozott sérülékenységet használ ki. A Symantec szerint a kártevő veszélyét az adja, hogy sok linuxos eszköz (pl. otthoni és kisvállalati routerek, set-top boxok, hálózati tárolók, IP-kamerák) tartalmazza a sérülékeny kódot például az adminisztrációs felület eléréséhez és megjelenítéséhez és az ilyen típusú készülékekhez nem mindig érkeznek rendszeres javítások, szoftverfrissítések, emiatt pedig ezek az eszközök több mint egy évvel a javítás megjelenése után is támadhatóak lehetnek.

A Symantec leírása szerint a kód futásakor véletlenszerűen generál IP-címeket, az adott gépen ismert ID-ket és jelszavakat próbál meg, majd HTTP POST lekéréseket küld, amelyek segítségével átjut a sérülékenységen. Amennyiben a támadott gép szoftverét nem frissítették, a kód egy távoli szerverről rátölti a férget és a következő áldozata után veti magát. A Symantec vizsgálata szerint a kód jelenleg csak x86 rendszereket fertőz, az exploit kód ugyanis Intel architektúrán futó ELF binárisba beégetve tartalmazza a letöltési URL-t, azonban a támadó már más architektúrákra is elkészítette ezt: ARM, PowerPC és MIPS rendszerekre egyaránt rendelkezésre áll a támadó kód. A legtöbb beágyazott, Linuxot futtató eszköz ezen architektúrák valamelyikére épül.

Linux.Darlloz php sérülékenység javítás, ellenőrzés

A veszély elhárítására a Symantec az alapvető intézkedéseken – összes eszköz ellenőrzése, friss szoftverek telepítése, biztonsági funkciók alapos vizsgálata, alapértelmezett jelszavak erős jelszóra módosítása – túl azt javasolja, a felhasználók tiltsák le a HTTP POST lekéréseket a -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi és -/cgi-bin/php4 könyvtárakra. A PHP 5.4.2 és 5.3.13 verziói javították ki ezt a sebezhetőséget, amennyiben valaki teheti, ellenőrizze eszközein a PHP verziószámát.

A biztonsági cég úgy látja, a legnagyobb kockázatot jelen esetben az okozza, hogy sok felhasználó egyszerűen nincs is tisztában azzal, hogy sérülékeny rendszerrel rendelkezik. A legtöbben be tudják azonosítani a PC-jük operációs rendszerét, de hogy az otthoni routerük, set-top boxuk vagy hálózati adattárolójuk milyen szoftvert futtat, sokan nem tudják. Ezért azzal sincsenek tisztában, hogy ezeket az eszközöket milyen veszély fenyegetheti vagy hogy azokat hogy lehet minimalizálni.

Azt sem tudják a felhasználók sokszor, hogy ezekhez az eszközökhöz létezik-e újabb szoftver, a frissítési módszerekkel sincsenek sokan tisztában. A gyártók pedig sokszor elhanyagolják a támogatást, néha egyáltalán nem is adnak ki új szoftvereket a beágyazott termékekhez – ennek az oka lehet akár hardveres korlátozás (túl lassú CPU vagy kevés memória), akár pedig üzleti ok, ugyanis néha két hasonló eszközt csak a szoftveres képességek különböztetnek meg egymástól, ezért a régebbi modelleket nem mindig frissítik.

Comments are closed, but trackbacks and pingbacks are open.