新型Linux蠕虫攻击物联网设备

作者:星期四, 十二月 12, 20130
分享:

cloud 3

近期,Symantec的研究人员发现了一种新型的Linux蠕虫,这种蠕虫病毒可以针对物联网中一系列设备,以及传统计算机进行攻击。这种蠕虫的变种所针对的芯片架构通常在家用路由器,机顶盒以及监控摄像头之类的设备上。这一病毒目前还没有大规模爆发,因此,很多用户也许还没有意识到他们那些跑着嵌入式LInux系统的设备已经处于病毒的威胁中。

这种名为Linux.Darlloz的蠕虫病毒利用了一个PHP的漏洞来进行传播。这个漏洞就是PHP ‘php-cgi’ Information Disclosure VulnerabilityCVE-2012-1823) 这个漏洞算是个比较老的漏洞了, 在20125月就被公布并且有了升级补丁。 而病毒制作者则是利用了201310月发布的一个针对这一漏洞的验证代码(POCProof of Concept)来进行制作的。

 

病毒代码执行时, 将会随机产生IP地址, 利用已知的用户名/密码访问机器的特定路径, 同时通过发送HTTP POST请求来利用上述漏洞。 如果目标机器没有升级补丁, 它将会从远程服务器下载这一蠕虫病毒并且搜寻下一个目标机器。 目前, 这一病毒仅仅感染Intel X86系统, 因为在病毒代码中下载URL被硬编码为针对Intel架构的EFL格式。 不过, Symantec的研究人员也发现了病毒作者也已经针对ARMPPC, MIPS以及MIPSEL等架构开发的变种。

 

由于Linux系统在物联网设备里的大量使用。 使得这一病毒的潜在威胁大大增加。 在众多的物联网设备, 如家用路由器, 机顶盒, 监控设备, 甚至工业控制系统(ICS)里, 大量使用了嵌入式的Linux系统。在物联网设备里, 往往基于ApachePHP 为用户提供一个设置界面或者监控界面。这样就使得病毒的传播成为可能。

 

在物联网领域, 令人头疼的是, 很多设备是隐形设备, 也就是在配置设备的过程中根本不通知用户。很多用户甚至意识不到他们在家或者办公室所使用的设备存在漏洞。 更加糟糕的是, 这些物联网设备的补丁升级在很多情况下非常困难。 比如说, 设备的内存不够,或者设备的CPU太慢, 不足以跑新的版本等问题。 这样就使得很多设备会暴露在这些针对Linux的蠕虫病毒的威胁之下。

对于此病毒, Symantec的研究人员给出了如下的建议,

1)检查所以链接到网络的设备

2)更新这些设备的软件

3)更新有针对这些设备的安全软件

4)如果不需要的话,屏蔽针对下述路径的HTTP POST请求

           /cgi-bin/php
           /cgi-bin/php5
           /cgi-bin/php-cgi
           /cgi/bin/php.cgi
           /cgi-bin/php4

分享:

相关文章

写一条评论

 

 

0条评论