COMPTOIR
register

Un ver nommé The Moon se balade sur certains routeurs Linksys

Après les utisateurs d'Internet Explorer 9 et 10 et la découverte d'un backdoor sur des routeurs Linksys et Netgear, c'est au tour des possesseurs de certains routeurs Linksys (E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900) d'être visités par un ver qui s'installe dans le système puis part à la recherche d'autres équipements à infecter. Seules certaines versions des firmwares seraient vulnérables. Pour le moment, à part se reproduire, le ver ne fait rien d'autre, ce qui empêche donc de le qualifier de bot. Toutefois, quelques lignes de l'exécutable vérolé font penser à la possibilité d'une prise de contrôle à distance pour en fait un bot.

 

Pour être vulnérable, le routeur doit avoir l'interface d'administration web activée. Le ver scanne alors les ports 80 et 8080 et s'ils sont ouverts, il envoie une requête à un script CGI qui contient la faille : le ver peut se logguer en admin sur le routeur avec n'importe quelles informations de connexion. Le ver lance ensuite un script shell pour télécharger un exécutable de 2 Mo. Et l'attaque repart de plus belle à partir de votre routeur, en uploadant le ver aux autres compères via un serveur HTTP sur les ports < 1024.

 

Si votre routeur ne fait que de scanner des ports 80 et 8080 à travers le net ou que vous recevez des tentatives de connexions des ports < 1024, vous pouvez être infecté. Pour se protéger et en attendant un patch de Linksys, vous pouvez désactiver l'interface d'administration, changer son port, restreindre son accès à certaines adresses IP voire opter pour le firmware alternatif OpenWRT. Pour plus d'informations et afin de suivre l'histoire en détail, n'hésitez pas à jeter un oeil au blog de l'Internet Storm Center. Pour la petite histoire, l'exécutable inclut des images du film The Moon, d'où son nom.

 

worms.jpg 

Thibaut qui essaye de s'introduire dans un routeur.

Un poil avant ?

Le dicton du jour : "Snapdragon annoncé en janvier, Snapdragon annulé en février"

Un peu plus tard ...

Un second test pour la MSi R9 290 Gaming

Les 5 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Tigrou, le Mardi 18 Février 2014 à 17h40  
Le port 80 est dédié à tout ce qui est http, donc normal
par Un ragoteur lambda d'Ile-de-France, le Mardi 18 Février 2014 à 16h31  
Tien donc le port 80, un port utilisé par le xbox live...
par Un ragoteur de passage de Provence-Alpes-Cote d'Azur, le Mardi 18 Février 2014 à 13h51  
par mart666 le Mardi 18 Février 2014 à 13h36
Encore mieux d'installer OpenWRT et le conserver, ça fonctionne super bien OpenWRT
J'ai DD-WRT sur le mien, c'est pas mal, mais certaines options ne s'activent pas comme le link aggregation.
par mart666, le Mardi 18 Février 2014 à 13h36  
Encore mieux d'installer OpenWRT et le conserver, ça fonctionne super bien OpenWRT
par Un ragoteur macagneur embusqué, le Mardi 18 Février 2014 à 11h04  
en attendant installer peerblock et bloquez le port HTTP 80 et (HTTPS 443 en option avec SSL 2.0 qui comporte de nombreuses failles mieux rester en 1.0)