Orm inficerer Linksys-routere

Artiklen blev oprindeligt publiceret den 17/2/2014

En orm udnytter en sårbarhed i ældre Linksys-routere til at inficere dem via et interface til fjernadministration. Firmaet regner med at lukke hullet i løbet af nogle uger.

Ormen, der kaldes TheMoon, udnytter en sårbarhed, som kun er til stede, hvis man har slået Remote Management Access til. Som standard er den funktion slået fra.

Det ser ud til, at ormen spreder sig automatisk: Når den har inficeret en router, kører den på routeren og forsøger at finde flere sårbare routere, den kan inficere.

Der er usikkerhed om, hvilke modeller der er ramt. En udvikler, der har skrevet et exploit (angrebsprogram), som udnytter sårbarheden, mener, at følgende kan være berørt: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N og WRT150N. Det skriver Computerworld US.

Anbefaling
Belkin, der ejer Linksys-varemærket, regner med at udsende opdateret firmware i de kommende uger. Indtil da kan man beskytte sig ved at slå fjernadministration fra.

Links

• There's now an exploit for 'TheMoon' worm targeting Linksys routers, artikel fra Computerworld US
• Linksys Worm "TheMoon" Summary: What we know so far, blogindlæg fra SANS Internet Storm Center
• Linksys vuln confirmed as a HNAP1 bug, artikel fra The Register