新蠕蟲能感染 Linux 系統和嵌入式設備!
根據賽門鐵克研究員的介紹,這種病毒利用 php-cgi 上的一個漏洞進行傳播,這個 php-cgi 組件的功能是允許 PHP 代碼在通用網關介面(CGI)的配置環境下被執行。此漏洞的代號為 CVE-2012-1823(通過這個漏洞,攻擊者可以遠程執行任意代碼,所以這種漏洞又叫「遠程任意代碼執行漏洞」 —— 譯者注)。2012年5月份,PHP 5.4.3 和 PHP 5.3.13 這兩個版本已經打上補丁修復了這個漏洞。
這個賽門鐵克的研究員在博客中寫道:這個名為「Linux.Darlloz」的新蠕蟲病毒基於去年10月份放出的 PoC 代碼(PoC:proof of concept,概念驗證。利用目標計算機的漏洞,為對其進行攻擊而設計的代碼稱為 exploit,而一個沒有充分利用漏洞的 exploit,就是 PoC —— 譯者注)。
「在傳播過程中,這段蠕蟲代碼會隨機產生 IP 地址,通過特殊途徑,利用普通的用戶名密碼發送 HTTP POST 請求,探測漏洞」,研究員解釋道:「如果一個目標沒有打上 CVE-2012-1823 的補丁,這台機器就會從病毒伺服器下載蠕蟲病毒,之後尋找下一個目標。」
這個唯一的蠕蟲變種目前為止只感染了 x86 系統,這是因為這個病毒的二進位格式為 Intel 架構下的 ELF (Executable and Linkable Format)格式。
然而這個研究員警告說,黑客也為其他架構開發了病毒,包括 ARM,PPC,MIPS 和 MIPSEL。
這些計算機架構主要用於諸如家用路由器、網路監視器、機頂盒以及其他嵌入式設備。
「攻擊者顯然試圖在最大範圍內感染運行 Linux 的設備」,研究員又說:「然而我們還沒有證實他們有沒有攻擊非 PC 設備。」
很多嵌入式設備的固件都使用 Linux 作為操作系統,並且使用 PHP 作為 Web 服務管理界面。這些設備比 PC 機 或伺服器更容易被攻陷,因為它們不會經常更新軟體。
在嵌入式設備為一個漏洞打上補丁,從來都不是件容易的事。很多廠商都不會定期公布更新信息,而當他們公布時,用戶也不會被告知說這些更新解決了哪些安全問題。
並且,在嵌入式設備上更新軟體比在計算機上需要更多的工作,以及更多的技術知識。用戶需要知道哪些網站能提供這些更新,然後下載下來,通過 Web 界面更新到他們的設備中。
「很多用戶也許壓根就不知道他們家裡或辦公室的設備存在漏洞,」啰嗦的研究員說:「我們面臨的另一個問題是,即使用戶注意到他們用的是有漏洞的設備,這些設備的供應商卻沒有提供補丁,原因是技術落後,或者完全就是硬體的限制:內存不足,或 CPU 太慢,不足以支持這些軟體的新版本。」
「為了保護他們的設備免受蠕蟲感染,用戶需要確認這些設備是否運行在最新的固件版本上,必要的話,升級固件,設置高強度的管理員密碼,在防火牆那兒,或任何獨立的設備那兒,屏蔽任何對 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 請求。」沒完沒了的賽門鐵克研究員說道。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive