Linux中國

新蠕蟲能感染 Linux 系統和嵌入式設備!

根據賽門鐵克研究員的介紹,這種病毒利用 php-cgi 上的一個漏洞進行傳播,這個 php-cgi 組件的功能是允許 PHP 代碼在通用網關介面(CGI)的配置環境下被執行。此漏洞的代號為 CVE-2012-1823(通過這個漏洞,攻擊者可以遠程執行任意代碼,所以這種漏洞又叫「遠程任意代碼執行漏洞」 —— 譯者注)。2012年5月份,PHP 5.4.3 和 PHP 5.3.13 這兩個版本已經打上補丁修復了這個漏洞。

這個賽門鐵克的研究員在博客中寫道:這個名為「Linux.Darlloz」的新蠕蟲病毒基於去年10月份放出的 PoC 代碼(PoC:proof of concept,概念驗證。利用目標計算機的漏洞,為對其進行攻擊而設計的代碼稱為 exploit,而一個沒有充分利用漏洞的 exploit,就是 PoC —— 譯者注)。

「在傳播過程中,這段蠕蟲代碼會隨機產生 IP 地址,通過特殊途徑,利用普通的用戶名密碼發送 HTTP POST 請求,探測漏洞」,研究員解釋道:「如果一個目標沒有打上 CVE-2012-1823 的補丁,這台機器就會從病毒伺服器下載蠕蟲病毒,之後尋找下一個目標。」

這個唯一的蠕蟲變種目前為止只感染了 x86 系統,這是因為這個病毒的二進位格式為 Intel 架構下的 ELF (Executable and Linkable Format)格式。

然而這個研究員警告說,黑客也為其他架構開發了病毒,包括 ARM,PPC,MIPS 和 MIPSEL。

這些計算機架構主要用於諸如家用路由器、網路監視器、機頂盒以及其他嵌入式設備

「攻擊者顯然試圖在最大範圍內感染運行 Linux設備」,研究員又說:「然而我們還沒有證實他們有沒有攻擊非 PC 設備。」

很多嵌入式設備的固件都使用 Linux 作為操作系統,並且使用 PHP 作為 Web 服務管理界面。這些設備比 PC 機 或伺服器更容易被攻陷,因為它們不會經常更新軟體。

在嵌入式設備為一個漏洞打上補丁,從來都不是件容易的事。很多廠商都不會定期公布更新信息,而當他們公布時,用戶也不會被告知說這些更新解決了哪些安全問題。

並且,在嵌入式設備上更新軟體比在計算機上需要更多的工作,以及更多的技術知識。用戶需要知道哪些網站能提供這些更新,然後下載下來,通過 Web 界面更新到他們的設備中。

「很多用戶也許壓根就不知道他們家裡或辦公室的設備存在漏洞,」啰嗦的研究員說:「我們面臨的另一個問題是,即使用戶注意到他們用的是有漏洞的設備,這些設備的供應商卻沒有提供補丁,原因是技術落後,或者完全就是硬體的限制:內存不足,或 CPU 太慢,不足以支持這些軟體的新版本。」

「為了保護他們的設備免受蠕蟲感染,用戶需要確認這些設備是否運行在最新的固件版本上,必要的話,升級固件,設置高強度的管理員密碼,在防火牆那兒,或任何獨立的設備那兒,屏蔽任何對 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 請求。」沒完沒了的賽門鐵克研究員說道。

via: http://www.computerworld.com/s/article/9244409/This_new_worm_targets_Linux_PCs_and_embedded_devices?taxonomyId=122

譯者:bazz2 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國