The Moon : Le malware qui s’attaque aux routeurs Linksys

0

Un malware surnommé “THE MOON” se propage sur des routeurs sans fil de la marque Linksys, une filiale de Cisco. Selon l’expert en sécurité Johannes Ullrich, les modèles E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, et E900 pourraient être touchés, selon la version du firmware installé.

Concrètement, le vers se connecte au port 8080 et demande à accéder à l’URL “/HNAP1/”, qui renvoie une liste XML des fonctionnalités du routeur et des informations sur le firmware installé. Il extrait alors le modèle du routeur, et la version du logiciel interne, avant d’envoyer du code malicieux en mode CGI. Ce code lance un script shell qui a pour effet d’ordonner le téléchargement du vers lui-même, au format binaire ELF MIPS. 

Une fois le code exécuté, le routeur se met lui-même en chasse de nouveaux routeurs à infecter, et devient une source de téléchargement du code. Pour le moment, le vers ne semble rien faire de dommageable. Mais il s’agit très certainement d’une mise en attente d’ordres à venir.

Pour tester si votre routeur est vulnérable, il faut ouvrir un terminal et saisir la commande suivante :

echo “GET /HNAP1/ HTTP/1.1rnHost: testrnrn” | nc routerip 8080

Si vous obtenez en retour des informations formatées en XML sur votre routeur, c’est que vous êtes potentiellement vulnérable voir même infecté dans le pire des cas.

 

Source : Numerama

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.