新蠕蟲能感染 Linux 系統和嵌入式設備！

根據賽門鐵克研究員的介紹，這種病毒利用 php-cgi 上的一個漏洞進行傳播，這個 php-cgi 組件的功能是允許 PHP 代碼在通用網關介面（CGI）的配置環境下被執行。此漏洞的代號為 CVE-2012-1823（通過這個漏洞，攻擊者可以遠程執行任意代碼，所以這種漏洞又叫「遠程任意代碼執行漏洞」 —— 譯者注）。2012年5月份，PHP 5.4.3 和 PHP 5.3.13 這兩個版本已經打上補丁修復了這個漏洞。

這個賽門鐵克的研究員在博客中寫道：這個名為「Linux.Darlloz」的新蠕蟲病毒基於去年10月份放出的 PoC 代碼（PoC：proof of concept，概念驗證。利用目標計算機的漏洞，為對其進行攻擊而設計的代碼稱為 exploit，而一個沒有充分利用漏洞的 exploit，就是 PoC —— 譯者注）。

「在傳播過程中，這段蠕蟲代碼會隨機產生 IP 地址，通過特殊途徑，利用普通的用戶名密碼發送 HTTP POST 請求，探測漏洞」，研究員解釋道：「如果一個目標沒有打上 CVE-2012-1823 的補丁，這台機器就會從病毒伺服器下載蠕蟲病毒，之後尋找下一個目標。」

這個唯一的蠕蟲變種目前為止只感染了 x86 系統，這是因為這個病毒的二進位格式為 Intel 架構下的 ELF （Executable and Linkable Format）格式。

然而這個研究員警告說，黑客也為其他架構開發了病毒，包括 ARM，PPC，MIPS 和 MIPSEL。

這些計算機架構主要用於諸如家用路由器、網路監視器、機頂盒以及其他嵌入式設備。

「攻擊者顯然試圖在最大範圍內感染運行 Linux 的設備」，研究員又說：「然而我們還沒有證實他們有沒有攻擊非 PC 設備。」

很多嵌入式設備的固件都使用 Linux 作為操作系統，並且使用 PHP 作為 Web 服務管理界面。這些設備比 PC 機 或伺服器更容易被攻陷，因為它們不會經常更新軟體。

在嵌入式設備為一個漏洞打上補丁，從來都不是件容易的事。很多廠商都不會定期公布更新信息，而當他們公布時，用戶也不會被告知說這些更新解決了哪些安全問題。

並且，在嵌入式設備上更新軟體比在計算機上需要更多的工作，以及更多的技術知識。用戶需要知道哪些網站能提供這些更新，然後下載下來，通過 Web 界面更新到他們的設備中。

「很多用戶也許壓根就不知道他們家裡或辦公室的設備存在漏洞，」啰嗦的研究員說：「我們面臨的另一個問題是，即使用戶注意到他們用的是有漏洞的設備，這些設備的供應商卻沒有提供補丁，原因是技術落後，或者完全就是硬體的限制：內存不足，或 CPU 太慢，不足以支持這些軟體的新版本。」

「為了保護他們的設備免受蠕蟲感染，用戶需要確認這些設備是否運行在最新的固件版本上，必要的話，升級固件，設置高強度的管理員密碼，在防火牆那兒，或任何獨立的設備那兒，屏蔽任何對 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 請求。」沒完沒了的賽門鐵克研究員說道。

via: http://www.computerworld.com/s/article/9244409/This_new_worm_targets_Linux_PCs_and_embedded_devices?taxonomyId=122

譯者：bazz2 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive