"The Moon"

Linksys-Router von Wurm befallen

Uhr

Nach den Hacking-Angriffen auf AVM-Router stehen nun auch Geräte von Linksys unter Beschuss. Wie schon bei den Fritzboxen verschafften sich die Angreifer über einen Wurm Zugang über eine Sicherheitslücke in der Fernzugriffsfunktion. Linksys arbeitet an einem Firmwareupdate.

Security-Experten des US-amerikanischen Sans Technology Institute haben einen Wurm entdeckt, der sich in Routern des Herstellers Linksys festsetzt. Die "The Moon" genannte Schadsoftware versucht, über die befallenen Geräte weitere Router zu infizieren. Urheber und Zweck des Wurms sind bislang noch unbekannt, wie Golem berichtet.

"The Moon" versucht sich dem Bericht zufolge, über die Ports 80 und 8080 zu verbreiten. Hierzu kontaktiere das Programm bestimmte IP-Bereiche von Providern, um dort weitere Linksys-Router mit derselben Schwachstelle zu finden. Aufgrund dieser Verhaltensweise wurde der Wurm bei einem Provider im US-Bundesstaat Wyoming erstmals entdeckt. Kunden des Providers beklagten sich wegen eines langsamen Internetzugangs. Der Wurm hatte anscheinend fast die gesamte Bandbreite der Anschlüsse belegt.

Fernzugriff deaktivieren und Router neustarten

Linksys selbst ist über die Bedrohung "The Moon" ebenfalls bereits im Bilde. Betroffen seien nach Angaben des Herstellers ältere Router-Modelle der E-Serie und einzelne WLAN-N Access Points. Die Sicherheitslücke besteht laut Linksys nur, wenn die Fernzugriffsfunktion (Remote Management Access) aktiviert ist. Der Wurm umgeht dann die Admin-Authentifizierung und setzt sich über Skripte im Router fest. Das Schadprogramm ist am Ende etwa 2 Megabyte gross.

Nutzern, die den Fernzugriff aktiviert haben, empfiehlt Linksys, die Funktion zu deaktivieren und den Router neuzustarten. Dadurch würde der Wurm entfernt, da er die Firmware nicht dauerhaft verändere. Nutzer, die den Fernzugriff nicht aktiviert haben, seien somit nicht betroffen. Gemäss Linksys ist die Fernzugriffs-Funktion bei der Auslieferung der Geräte standardmässig deaktiviert.

Urheber sind offenbar Fans des Science-Fiction-Films "Moon"

Der Hersteller arbeitet an einem Firmwareupdate für die betroffenen Geräte, das die Sicherheitslücke schliessen soll. Es werde in den kommenden Wochen auf der Hersteller-Webseite veröffentlicht.

Der Name "The Moon" rührt daher, dass sich in den Binärdaten des Schadprogramms offenbar einige Bilder finden, die eine Verbindung zu dem Sciens-Fiction-Film "Moon" nahelegen. Eines der Bilder ist etwa das Logo der fiktiven Firma "Lunar Industries Ltd." aus dem Film. Code-Beispiele und eine ausführliche Beschreibung des Wurms finden sich auf dem Info-Blog von Sans.

Webcode
7TKhsZEx

Kommentare

« Mehr