Linksys Anuncia Correção de Firmware para Neutralizar Worm "The Moon"

Devido a Linksys ter anunciado que estava ciente da existência do malware "TheMoon", que visa seus roteadores mais antigos e que a equipe de segurança da empresa está trabalhando em uma correção de firmware, mais detalhes sobre o worm em questão teriam sido compartilhado por um grupo de pesquisadores. "O worm vai estabelecer conexão, primeiramente, com a porta 8080 e, se necessário, usará protocolo SSL para solicitar a URL '/HNAP1/'. Isso retornará uma lista formatada XML de recursos e versões de firmware do roteador. O worm parece extrair a versão router hardware e a sua capacidade de revisão de firmware", disse Johannes Ullrich, pesquisador de segurança da SANS.


O executivo disse ainda que "em seguida, o worm irá enviar um exploit para um script CGI vulnerável​​, que funciona nesses roteadores. O pedido não requer autenticação. O worm envia credenciais aleatórias 'admin', mas elas não são verificadas pelo script. Além disso, o worm vem na forma de um binário ELF 2MB MIPS, e uma vez que um roteador é infectado, ele procura por outras vítimas em redes diferentes, e oferece o malware a partir de uma porta aleatória, para que novas vítimas possam fazer o download.


Saiba Mais:

[1] Net Security http://www.net-security.org/malware_news.php?id=2711