Symantec ha descubierto un nuevo gusano que explota varias vulnerabilidades en PHP para infectar dispositivos Linux x86-powered Intel. La empresa de seguridad advierte que el malware amenaza con poner en peligro los routers de banda ancha en casa y equipos similares.
La empresa de seguridad afirma que versiones del gusano de Linux para ARM y MIPS pueden estar ya disponibles, lo que podría comprometer los routers de banda ancha, TV set-top boxes y aparatos similares ahora se conoce como la “Internet de las cosas”.
Modus operandi del gusano
- El Linux.Darlloz aprovecha de los servidores web que ejecutan PHP que no puede asimilar las cadenas de consulta de forma segura, lo que permite a un atacante ejecutar comandos arbitrarios.
- Cuando el sistema está infectado, el gusano busca en la red para otros sistemas que ejecutan un servidor web y PHP.
- A continuación, intenta comprometer los dispositivos mediante la explotación de PHP para descargar y ejecutar un binario ELF x 86 – en caso de necesidad, entrando con pares nombre de usuario-contraseña triviales como administrador-admin, como se encuentra en los routers de banda ancha mal garantizados y kit similar.
- Una vez que se ejecuta en el gadget recién infiltrado, el gusano elimina el acceso a cualquier servicio telnet funcionando.
Recomendación:
Para proteger a los dispositivos de los ataques, la compañía recomienda a los usuarios y administradores pusieron protecciones básicas de seguridad en el lugar, como el cambio de contraseñas de dispositivos de la configuración predeterminada, la actualización de software y firmware en sus dispositivos, y el seguimiento de las conexiones de red y la arquitectura.
Más información:
Blog de Symantec. http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices
Fuente: The Register