Un nou worm (vierme) vizeaza calculatoarele x86 care ruleaza pe sistemul de operare Linux si care folosesc PHP, iar variante ale acestuia ar putea reprezenta o amenintare si pentru dispozitive cum ar fi routere si set-top box-uri.
Potrivit cercetatorilor de securitate de la Symantec, malware-ul se raspandeste prin exploatarea unei vulnerabilitati in php-cgi, o componenta care permite ca PHP sa ruleze in configuratia Common Gateway Interface (CGI). Vulnerabilitatea apare in evidente ca CVE-2012-1823 si a fost patchuita in PHP 5.4.3 si PHP 5.3.13 in mai 2012.
Noul worm, care a fost numit Linux.Darlloz, are la baza un nou cod lansat la sfarsitul lunii octombrie 2013, au declarat cercetatorii Symantec intr-un post pe blog.
“Dupa executie, worm-ul genereaza aleatoriu adrese IP [Internet Protocol], acceseaza o cale specifica de pe calculator si trimite cereri HTTP POST care exploateaza vulnerabilitatea. In cazul in care tinta vizata nu are patch-uri de securitate, se descarca worm-ul de pe un server de comanda si control si incepe sa caute urmatoarea tinta” au explicat cercetatorii Symantec.
Singura varianta a acestui worm care pare a se raspandi in prezent este cea care vizeaza sistemele x86, deoarece fisierul binar descarcat de pe serverul atacatorului este in format ELF (Executable and Linkable Format) pentru arhitecturi Intel. Cu toate acestea, cercetatorii Symantec sustin ca atacatorul gazduieste de asemenea si alte variante ale worm-ului, destinate pentru arhitecturi precum ARM, PPC, MIPS si MIPSEL. Aceste arhitecturi sunt folosite pe dispozitive integrate, cum ar fi routere, camere IP, set-top box-uri si multe altele.
Firmware-ul celor mai multe dispozitive integrate se bazeaza pe un anumit tip de Linux si include un server web cu PHP pentru interfata de administrare web-based. Aceste tipuri de dispozitive ar putea fi mai usor de compromis decat PC-uri sau servere dedicate Linux-based, deoarece nu primesc update-uri foarte des.
Pentru a-si proteja dispozitivele integrate, clientii de hosting sunt sfatuiti sa verifice daca acestea folosesc cea mai recenta versiune de firmware disponibila, sa faca update daca este necesar si sa configureze parole puternice de administrare.