Более 10 000 IoT-устройств заразил добрый вирус Linux.Wifatch

Александр Панасенко 06 Октября 2015 - 16:21

...

Специалисты компании Symantec обнаружили новый вирус, который поражает различные Internet of Things (IoT) устройства. Малварь, получившая имя Linux.Wifatch или Ifwatch, быстро распространяется и уже инфицировала более 10 000 девайсов.

Впрочем, называть Linux.Wifatch вредоносным ПО не совсем корректно. Похоже, его автором является настоящий Робин Гуд нашего времени. Дело в том, что Linux.Wifatch не делает ничего плохого, лишь вынуждает пользователей сменить слабые пароли на хорошие, передает xakep.ru.

В основном жертвами заражения становятся различные роутеры и маршрутизаторы. Однако код Linux.Wifatch, написанный на Perl, не содержит вредоносных пейлодов, вирус не побуждает устройства к какой-либо нехорошей активности, вроде DDoS-атак.

Попадая на устройство, Linux.Wifatch выходит в сеть по p2p-протоколу, с целью получения апдейтов. Затем вирус проверяет устройство, на котором оказался. В случае обнаружения вредоносного ПО или уязвимостей, Linux.Wifatch все поправит. Так, он просит владельца устройства немедленно сменить дефолтный пароль на нормальный, или может, к примеру, самостоятельно закрыть потенциально уязвимый Telnet-порт.

Впервые Linux.Wifatch был замечен в ноябре 2014 года независимым исследователем, известным как Loot Myself. Тот попросту обнаружил странную активность на собственном домашнем роутере, где в итоге и нашел Linux.Wifatch. «Разобрав» вредоноса, исследователь отметил, что код малвари доступен и просто сжат, о какой-либо обфускации речи не идет.

Кем был создан данный вирус и зачем, исследователи не знают. Специалисты Symantec предупреждают: невзирая на всю кажущуюся безопасность, Linux.Wifatch может быть использован с дурными намерениями. Поэтому в случае обнаружения, от малвари лучше избавиться.

Удалить Linux.Wifatch, к счастью, очень легко: для этого достаточно перезагрузить устройство. Однако, со временем Linux.Wifatch может вернуться, поэтому в Symantec рекомендуют использовать стойкие пароли, вовремя обновлять ПО роутеров и, на всякий случай, время от времени перезагружать девайсы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Июня 2025 - 14:26

Уязвимости сайтов Общее

Критическая брешь в Auth0 PHP SDK: достаточно куки, чтобы взломать сайт

Если вы используете Auth0 PHP SDK для авторизации пользователей через соцсети или корпоративные учётки — стоит срочно проверить версию. Исследователи сообщили о критической уязвимости, которая позволяет атакующему выполнить произвольный код на сервере, просто отправив cookies.

Уязвимость получила идентификатор CVE-2025-48951 и очень высокий балл по шкале CVSS — 9.3.

Это критическая проблема, без вариантов. Её корень — в небезопасной десериализации данных из куки, которую SDK обрабатывает ещё до авторизации.

Проще говоря: злоумышленник может сгенерировать особый cookie, подсунуть его серверу — и тот выполнит вредоносный код, даже если пользователь не вошёл в систему.

Кто под угрозой?

Если вы используете один из следующих пакетов:

auth0/auth0-php версии от 8.0.0-BETA3 до 8.3.0;
или сторонние обёртки на его базе:

auth0/symfony
auth0/laravel-auth0
auth0/wordpress

…значит, под угрозой ваш сайт, сервис или корпоративное веб-приложение.

Особенно опасно, если ваша система не изолирует куки или не проверяет их как следует. В этом случае возможен удалённый запуск кода (RCE) или компрометация данных.

Что делать?

Переходите на auth0/auth0-php v8.14.0 или новее. В этой версии уязвимость закрыли: SDK теперь проверяет и обрабатывает сериализованные данные из куки безопасным способом.

Более 10 000 IoT-устройств заразил добрый вирус Linux.Wifatch

Читайте также