Выявлен червь, поражающий уязвимость в маршрутизаторах Linksys

Александр Панасенко 18 Февраля 2014 - 13:37

...

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.

Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства, сообщает opennet.ru.

Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.

Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.

Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):

 echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »