Routery Linksys zagrożone atakiem robaka "Moon". Sprawdź, czy Twój sprzęt jest na "czarnej liście"

Część routerów firmy Linksys zagrożona jest atakiem robaka Moon, który pozwala cyberprzestępcom przejąć nad nimi kontrolę. Sprawdź, czy Twój sprzęt nie jest na "czarnej liście".

W poprzednim tygodniu Informatycy z SANS Institute poinformowali, że zidentyfikowali samoreplikującego się robaka Moon, który wykorzystuje lukę w routerach firmy Linksys pozwalając cyberprzestępcom przejąć nad nimi kontrolę. Wspomniana luka znajdować się miała w skrypcie CGI stanowiącym część interfejsu administratora. Niestety SANS nie podał, o które skrypty chodzi. "Niedopatrzenie" to w niedzielę naprawił jeden z użytkowników Reddit (podpisujący się jako Rew), który wytypował cztery potencjalnie niebezpieczne skrypty, potwierdzając nieco później, że dwa z nich na pewno są podatne na atak robaka Moon.

Które routery są zagrożone?

Według wspomnianego użytkownika Reddita obecnie lista zagrożonych routerów Linksis jest szersza niż wstępnie szacowano i prezentuje się następująco:

E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N and WRT150N.

Zastrzega on jednak, że może ona nie być kompletna.

Reakcja Belkina

"Linksys ma świadomość istnienia robaka "Moon", który atakuje wybrane starsze modele routerów Linksys E-Series oraz starsze modele routerów Wireless-N [jak widzicie, nie podaje jednak oznaczeń konkretnych modeli - red.]. Obejście uwierzytelnienia administratora jest możliwe tylko wtedy, gdy funkcja umożliwiającą zdalne zarządzanie jest włączona. Linksys sprzedaje wspomniane produkty z domyślnie wyłączaną funkcją zdalnego dostępu do zarządzania" - tłumaczy Karen Sohl z firmy Belkin (w 2013 roku przejęła Linksys).

Sohl zaleca, aby właściciele zagrożonych routerów wyłączyli opcję umożliwiającą zdalne zarządzanie i je zrestartowali, co powinno pozwolić usunąć robaka. Jeżeli jednak nie jest to możliwe, powinniśmy zmienić numery portów interfejsu na inne niż 80 i 8080, ponieważ te są wykorzystywane przez robaka do rozprzestrzeniania się.

Linksys opublikował również techniczną instrukcję opisującą w jaki sposób zainstalować najnowszą wersję firmware i wyłączyć zdalne zarządzanie na wadliwych urządzeniach. Znajdziecie ją tutaj.

Zadeklarował też, że pracuje nad firmware, które zabezpieczy zagrożone routery. Udostępni je w ciągu "najbliższych tygodni".


Zobacz również