Moon 웜은 구형 linksys 홈 라우터를 대상으로합니다.

자체 복제 웜이 Linksys 홈 및 소규모 비즈니스 라우터의 인증 우회 취약성을 악용하고 있습니다. E-Series 라우터 중 하나가 있으면 위험합니다.

코드에서 음력 참조로 인해 "The Moon"이라고 불린이 웜은 다른 취약한 라우터를 검색하고 자체 복사본을 만드는 것 이상으로 현재 많은 일을하고 있지 않다고 연구원들은 지난 주 SANS Institute의 인터넷 스톰 센터 블로그에 썼습니다. 현재 페이로드가 무엇인지 또는 명령 및 제어 서버에서 명령을 수신하는지 여부는 확실하지 않습니다.

SANS의 최고 기술 책임자 인 요하네스 울리히 (Johannes Ullrich)는 블로그 게시물에 "현재이 시점에서 우리는 다양한 링크시스 라우터 모델에 확산되는 웜에 대해 알고있다"고 밝혔다. "우리는 취약한 라우터 목록을 가지고 있지 않지만 펌웨어 버전에 따라 다음 라우터가 취약 할 수 있습니다: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT160N 및 WRT150N 라우터도 취약하다는보고가 있습니다.

"Linksys는 지난 달 Cisco에서 Linksys 브랜드를 인수 한 회사 인 Belkin은 블로그에서 일부 구형 Linksys E- 시리즈 라우터 및 구형 Wireless-N 액세스 포인트 및 라우터에 영향을 준 Moon이라는 악성 코드를 알고 있습니다. 우편. 펌웨어 수정이 계획되었지만 현재 특정 시간표를 사용할 수 없습니다.

달의 공격

취약한 라우터에서 Moon 웜은 포트 8080에 연결하고 HNAP (Home Network Administration Protocol)를 사용하여 손상된 라우터의 제조사와 펌웨어를 식별합니다. 그런 다음 CGI 스크립트를 이용하여 인증없이 라우터에 액세스하고 다른 취약한 상자를 검색합니다. SANS는 1, 000 개가 넘는 Linksys 라우터가 이미 감염된 것으로 추정합니다.

CGI 스크립트의 취약점을 대상으로하는 개념 증명이 이미 게시되었습니다.

울리히 부사장은“다른 라우터를 검색하는 약 670 개의 IP 범위가있다. 이들은 모두 다른 케이블 모뎀과 DSL ISP에 속하는 것으로 보인다”고 말했다.

포트 80 및 8080에서 과도한 아웃 바운드 스캔과 1024보다 낮은 기타 포트의 인바운드 연결이 발견되면 이미 감염된 것일 수 있습니다. 에코 "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 을 핑 (ping)하고 XML HNAP 출력을 얻는다면, 아마도 라우터가 취약한 것 같다고 울리히는 말했다.

달에 대한 방어

취약한 라우터 중 하나가있는 경우 몇 가지 단계를 수행 할 수 있습니다. 우선, 원격 관리 용으로 구성되지 않은 라우터는 노출되지 않습니다. 따라서 원격 관리가 필요하지 않은 경우 관리자 인터페이스에서 원격 관리 액세스를 끄십시오.

원격 관리가 필요한 경우 웜이 ​​라우터에 액세스 할 수 없도록 IP 주소로 관리 인터페이스에 대한 액세스를 제한하십시오. 관리-보안 탭에서 익명 인터넷 요청 필터링을 활성화 할 수도 있습니다. 웜은 포트 80과 8080을 통해 확산되므로 관리자 인터페이스의 포트를 변경하면 웜이 라우터를 찾기가 더 어려워 질 것이라고 울리히는 말했다.

홈 라우터는 일반적으로 오래된 모델이고 사용자는 일반적으로 펌웨어 업데이트를 유지하지 않기 때문에 인기있는 공격 대상입니다. 예를 들어, 사이버 범죄자들은 ​​최근 이달 초 CERT Polska (폴란드 컴퓨터 비상 대응팀)의 경고에 따르면, 홈 라우터를 해킹하고 온라인 뱅킹 사이트로 전송되는 정보를 가로 채기 위해 DNS 설정을 변경했습니다.

Belkin은 또한 패치되지 않은 다른 문제를 해결하기 위해 최신 펌웨어로 업데이트 할 것을 제안합니다.