Video: Linksys Velop Setup (Oktober 2024)
Cacing yang mereplikasi sendiri sedang mengeksploitasi kerentanan bypass otentikasi di router Linksys home dan small business. Jika Anda memiliki salah satu router E-Series, Anda berisiko.
Cacing itu, dijuluki "Bulan" karena referensi bulan dalam kodenya, tidak melakukan banyak hal saat ini selain memindai router rentan lainnya dan membuat salinannya sendiri, tulis para peneliti di blog Internet Storm Center SANS Institute pekan lalu. Tidak jelas saat ini apa muatannya atau apakah ia menerima perintah dari server perintah-dan-kontrol.
"Pada titik ini, kami menyadari adanya worm yang menyebar di antara berbagai model router Linksys, " tulis Johannes Ullrich, kepala petugas teknologi di SANS, dalam sebuah posting blog. "Kami tidak memiliki daftar pasti router yang rentan, tetapi router berikut mungkin rentan tergantung pada versi firmware: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900." Ada laporan bahwa router E300, WAG320N, WAP300N, WES610N, WAP610N, WRT610N, WRT400N, WRT600N, WRT320N, WRT320N, WRT160N, dan WRT150N juga rentan.
"Linksys mengetahui tentang malware yang disebut The Moon yang telah mempengaruhi beberapa router E-series Linksys yang lebih tua dan memilih titik akses dan router Wireless-N yang lebih tua, " Belkin, perusahaan yang mengakuisisi merek Linksys dari Cisco tahun lalu, menulis dalam sebuah blog pos. Perbaikan firmware direncanakan, tetapi tidak ada jadwal khusus yang tersedia saat ini.
Serangan Bulan
Setelah berada di router yang rentan, The Moon worm terhubung ke port 8080 dan menggunakan Home Network Administration Protocol (HNAP) untuk mengidentifikasi merek dan firmware dari router yang dikompromikan. Kemudian mengeksploitasi skrip CGI untuk mengakses router tanpa otentikasi dan memindai kotak rentan lainnya. SANS memperkirakan lebih dari 1.000 router Linksys telah terinfeksi.
Sebuah bukti konsep yang menargetkan kerentanan dalam skrip CGI telah diterbitkan.
"Ada sekitar 670 rentang IP berbeda yang dipindai untuk router lain. Mereka tampaknya milik modem kabel dan ISP DSL yang berbeda. Mereka didistribusikan agak di seluruh dunia, " kata Ullrich.
Jika Anda melihat pemindaian keluar berat di port 80 dan 8080 dan koneksi masuk pada port lain-lain yang lebih rendah dari 1024, Anda mungkin sudah terinfeksi. Jika Anda melakukan ping echo "GET / HNAP1 / HTTP / 1.1 \ r \ nHost: test \ r \ n \ r \ n" 'nc routerip 8080 dan dapatkan output XML HNAP, maka Anda mungkin memiliki router yang rentan, kata Ullrich.
Pertahanan Melawan Bulan
Jika Anda memiliki salah satu router yang rentan, ada beberapa langkah yang dapat Anda ambil. Pertama-tama, router yang tidak dikonfigurasikan untuk administrasi jarak jauh tidak diekspos, kata Ullrich. Jadi, jika Anda tidak memerlukan administrasi jarak jauh, matikan Remote Management Access dari antarmuka administrator.
Jika Anda memerlukan administrasi jarak jauh, batasi akses ke antarmuka administratif dengan alamat IP sehingga worm tidak dapat mengakses router. Anda juga dapat mengaktifkan Filter Permintaan Internet Anonim di bawah tab Administrasi-Keamanan. Karena worm menyebar melalui port 80 dan 8080, mengubah port untuk antarmuka administrator juga akan mempersulit worm untuk menemukan router, kata Ullrich.
Router rumah adalah target serangan yang populer, karena biasanya model yang lebih lama dan pengguna umumnya tidak mengikuti pembaruan firmware. Sebagai contoh, penjahat cyber baru-baru ini meretas router rumah dan mengubah pengaturan DNS untuk mencegat informasi yang dikirim ke situs perbankan online, menurut peringatan awal bulan ini dari Tim Tanggap Darurat Komputer Polandia (CERT Polska).
Belkin juga menyarankan memperbarui ke firmware terbaru untuk memasukkan masalah lain yang mungkin belum ditambal.
