Publié par UnderNews Actu - Télécharger l'application Android

Un malware surnommé “THE MOON” se propage sur des routeurs sans fil de la marque Linksys, une filiale de Cisco. Selon l’expert en sécurité Johannes Ullrich, les modèles E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, et E900 pourraient être touchés, selon la version du firmware installé.

Concrètement, le vers se connecte au port 8080 et demande à accéder à l’URL “/HNAP1/”, qui renvoie une liste XML des fonctionnalités du routeur et des informations sur le firmware installé. Il extrait alors le modèle du routeur, et la version du logiciel interne, avant d’envoyer du code malicieux en mode CGI. Ce code lance un script shell qui a pour effet d’ordonner le téléchargement du vers lui-même, au format binaire ELF MIPS. 

Une fois le code exécuté, le routeur se met lui-même en chasse de nouveaux routeurs à infecter, et devient une source de téléchargement du code. Pour le moment, le vers ne semble rien faire de dommageable. Mais il s’agit très certainement d’une mise en attente d’ordres à venir.

Pour tester si votre routeur est vulnérable, il faut ouvrir un terminal et saisir la commande suivante :

echo “GET /HNAP1/ HTTP/1.1rnHost: testrnrn” | nc routerip 8080

HMA Pro VPN

Si vous obtenez en retour des informations formatées en XML sur votre routeur, c’est que vous êtes potentiellement vulnérable voir même infecté dans le pire des cas.

 

Source : Numerama

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 3,00 sur 5)
Loading...

Mots clés : , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.