Выявлен червь, поражающий уязвимость в маршрутизаторах Linksys

Александр Панасенко 18 Февраля 2014 - 13:37

...

Центр противодействия угрозам в Интернет опубликовал предупреждение о выявлении активности сетевого червя TheMoon, поражающего беспроводные маршрутизаторы Linksys (модели Wireless-N и серии E). Используя для проникновения неисправленную уязвимость червь получает управление на устройстве, загружает исполняемый файл ELF для архитектуры MIPS и запускает процесс сканирования сети на предмет выявления других уязвимых устройств и повторения атаки.

Сканирование ограничено 670 сетями (/21 и /24) DSL-провайдеров в разных странах. В случае выявления уязвимого устройства, запускается эксплоит и на осуществляющей сканирование системе кратковременно открывается случайный сетевой порт для отдачи копии бинарного файла с червём. После того как файл загружен, порт закрывается. В файле с червём также присутствует упоминание управляющего сервера, что позволяет предположить (анализ червя ещё не завершен) о наличии функций по приёму и обработке внешних команд с управляющего сервера, с возможностью формирования ботнета из маршрутизаторов. Червь не копирует себя в постоянную память и может быть удалён путем перезагрузки устройства, сообщает opennet.ru.

Потенциально, в зависимости от используемой прошивки, проблеме подвержены модели Linksys E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Информация об уязвимости не афишируется до выпуска обновления прошивки, но в Сети уже можно найти несколько прототипов эксплоита. Червь проникает в систему через эксплуатацию уязвимости в cgi-скрипте tmUnblock.cgi, доступном без аутентификации.

Перед атакой червь проверяет модель устройства и версию прошивки через отправку HTTP-запроса "/HNAP1/" на порт 8080. Защититься от атаки можно отключив в настройках функцию RMA (Remote Management Access). По умолчанию RMA и протокол HNAP отключены, но многие провайдеры поставляют клиентам устройства с активированной поддержкой RMA (также имеются сведения, что в некоторых ситуациях сервис управления остаётся доступным даже после его отключения в web-интерфейсе). Обновление прошивки планируется выпустить в течение нескольких недель.

Предварительно поверить подверженность своего устройства атаке червя можно выполнив команду (устройство может быть атаковано, если в ответ возвращён вывод XML HNAP):

 echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080

Дополнение: Изучая прошивку маршрутизатора Linksys, один из исследователей безопасности выявил ещё одну 0-day уязвимость, не связанную с методом атаки червя TheMoon, но также позволяющую получить контроль над устройством.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 16:07

Solar webProxy Общее ГК «Солар»

32 млрд опасных переходов: школы накрыло волной вредоносной рекламы

С конца февраля по середину мая 2026 года в российских школах и колледжах заблокировали 32,1 млрд попыток обращения к вредоносным ресурсам. Такие данные привели аналитики ГК «Солар», изучившие работу системы фильтрации интернет-трафика в Единой сети передачи данных (ЕСПД).

Больше всего подозрительной активности зафиксировали в Центральном и Приволжском федеральных округах. На каждый из них пришлось примерно по 8,9 млрд заблокированных обращений — в сумме это более половины всех попыток по стране.

Самый любопытный момент связан со временем всплеска активности. Пик пришёлся на период подготовки к пробным ЕГЭ, ОГЭ и ВПР. По словам специалистов, школьники активно искали ответы к экзаменам, шпаргалки и готовые решения, а мошенники этим воспользовались.

Вместо полезных материалов дети нередко попадали на заражённые сайты или скачивали файлы с вредоносным кодом. Такие ссылки злоумышленники распространяют через рекламу, социальные сети и другие популярные площадки.

Главным источником угроз оказалась так называемая вредоносная реклама. На неё приходится от 60% до 85% всех блокировок. Достаточно кликнуть по баннеру или объявлению, чтобы оказаться на фишинговом сайте или запустить загрузку опасного файла.

На втором месте — социальные сети. Мошенники взламывают аккаунты, рассылают ссылки от имени друзей и публикуют вредоносные материалы через рекламу и сообщества.

Не обошлось и без нейросетей. За два месяца система зафиксировала более 51 тысячи попыток обращения к сервисам вроде DeepSeek, ChatGPT и Perplexity. Особенно активно ИИ-инструментами интересовались учащиеся Приволжского, Сибирского и Центрального округов.

При этом сами нейросети не считаются вредоносными ресурсами. Их выделяют в отдельную категорию, а доступ регулируется внутренними правилами фильтрации.

По мнению специалистов, одной технической защиты уже недостаточно. Пока школьники продолжают доверять ссылкам с обещаниями ответов на экзамены, розыгрышей и лёгких решений, мошенники будут находить новые способы заманить их на опасные сайты.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!