Routery Linksys zagrożone atakiem robaka "Moon". Sprawdź, czy Twój sprzęt jest na "czarnej liście"

W poprzednim tygodniu Informatycy z SANS Institute poinformowali, że zidentyfikowali samoreplikującego się robaka Moon, który wykorzystuje lukę w routerach firmy Linksys pozwalając cyberprzestępcom przejąć nad nimi kontrolę. Wspomniana luka znajdować się miała w skrypcie CGI stanowiącym część interfejsu administratora. Niestety SANS nie podał, o które skrypty chodzi. "Niedopatrzenie" to w niedzielę naprawił jeden z użytkowników Reddit (podpisujący się jako Rew), który wytypował cztery potencjalnie niebezpieczne skrypty, potwierdzając nieco później, że dwa z nich na pewno są podatne na atak robaka Moon.

Które routery są zagrożone?

Według wspomnianego użytkownika Reddita obecnie lista zagrożonych routerów Linksis jest szersza niż wstępnie szacowano i prezentuje się następująco:

E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N and WRT150N.

Zastrzega on jednak, że może ona nie być kompletna.

Reakcja Belkina

"Linksys ma świadomość istnienia robaka "Moon", który atakuje wybrane starsze modele routerów Linksys E-Series oraz starsze modele routerów Wireless-N [jak widzicie, nie podaje jednak oznaczeń konkretnych modeli - red.]. Obejście uwierzytelnienia administratora jest możliwe tylko wtedy, gdy funkcja umożliwiającą zdalne zarządzanie jest włączona. Linksys sprzedaje wspomniane produkty z domyślnie wyłączaną funkcją zdalnego dostępu do zarządzania" - tłumaczy Karen Sohl z firmy Belkin (w 2013 roku przejęła Linksys).

Sohl zaleca, aby właściciele zagrożonych routerów wyłączyli opcję umożliwiającą zdalne zarządzanie i je zrestartowali, co powinno pozwolić usunąć robaka. Jeżeli jednak nie jest to możliwe, powinniśmy zmienić numery portów interfejsu na inne niż 80 i 8080, ponieważ te są wykorzystywane przez robaka do rozprzestrzeniania się.

Linksys opublikował również techniczną instrukcję opisującą w jaki sposób zainstalować najnowszą wersję firmware i wyłączyć zdalne zarządzanie na wadliwych urządzeniach. Znajdziecie ją tutaj.

Zadeklarował też, że pracuje nad firmware, które zabezpieczy zagrożone routery. Udostępni je w ciągu "najbliższych tygodni".