Visualizzazioni Totali

IL MIGLIOR BLOG TECNOLOGICO DEL WEB: PER ESSERE SEMPRE AGGIORNATI SULLE NOVITA' DEL BLOG DA OGGI CI TROVATE ANCHE SU FACEBOOK! (LINK A SINISTRA)

mercoledì 16 aprile 2014

Il Malware TheMoon Che Attacca I Router

Un provider Internet degli Stati Uniti avrebbe rilevato del traffico sospetto diretto verso diversi router installati presso le sedi dei suoi clienti.
Dopo le prime indagini, sembra che ad aver attaccato i router è stato un malware in grado di replicarsi autonomamente.
Battezzato "TheMoon", il malware è capace di diffondersi da router a router infettando i dispositivi vulnerabili.


ROUTER VULNERABILI
I router presi di mira da "TheMoon" sarebbero i seguenti modelli di device a marchio Linksys (brand acquisito da Belkin: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N e WRT150N.
Ad essere a rischio dovrebbero essere i soli utenti che hanno abilitato la funzionalità utilizzata per la gestione remota del router.
Linksys ha confermato il problema ricordando che tutti i possessori di router delle serie "E" ed "N" è bene che procedano all'installazione dell'ultima versione del firmware assicurandosi che la gestione remota sia disattivata così come siano filtrate tutte le richieste anonime (non autenticate) provenienti dalla rete Internet.
Secondo un ricercatore anonimo, conosciuto con il nickname Rew, sarebbero quattro gli script CGI utilizzati dai router Linksys ad essere presi di mira dal malware.
 I router Linksys infetti da "TheMoon" inizierebbero a generare un notevole traffico dati in uscita sulle porte 80 e 8080 (tanto da rallentare drasticamente le performance di rete dell'intera LAN) alla ricerca di altri dispositivi attaccabili.
Le interrogazioni verso i dispositivi remoti vengono lanciate usando il protocollo HNAP: in caso di risposta, il malware può immediatamente stabilire marca e modello del dispositivo con cui ha a che fare.
Per questo motivo, gli esperti di SANS suggeriscono di collegarsi con l'indirizzo http://IP_ROUTER/HNAP1 (IP_ROUTER va ovviamente sostituito con l'indirizzo IP assegnato al router Linksys) per verificare se si riceva o meno una risposta.

Nessun commento:

Posta un commento