Orm angriper Linksys-rutere

Orm angriper Linksys-rutere

Sårbare rutermodeller finnes i stort antall hos nordmenn.

Det har blitt avdekket at et større antall rutere i Linksys E-serien har blitt infisert av en orm. Ormen går nå under navnet "TheMoon" - dette med bakgrunn i at bilder som vises på en webside på infiserte rutere, er hentet fra filmen The Moon .

Infiseringen av ruterene skjer gjennom bruk av HNAP - Home Network Administration Protocol. Dette er en teknologi som er ment for at internettleverandører som leverer ruterne til sine kunder skal kunne fjernadministrere ruteren. Ifølge Johannes B. Ullrish, forsker ved SANS Technology Institute, skal det være verifisert at rundt 1000 rutere er infisert. Det reelle antallet forventes imidlertid å være langt høyere.

Også tidligere har man sett HNAP bli benyttet i angrep mot flere rutermodeller fra D-Link - blant annet DIR-655, som har vært en populær modell på det norske markedet.

LES OGSÅ:

Er NAS-en din trygg?

Ormen vil blant annet endre DNS-innstillingene på ruteren - dette til Googles DNS-servere (8.8.8.8/8.8.4.4), men ser foreløpig ikke ut til å gjøre annen skade, så vidt vi kan forstå. Ifølge sikkerhetseksperter som har sett på problemet kan det imidlertid se ut som ormen åpner opp for at ruteren videre kan infiseres og kontrolleres.

Foreløpig ser det ut som ormen i hovedsak jobber med å spre seg selv til andre rutere. Muligheten for å endre DNS-server alene kan imidlertid være alvorlig nok - her kan det for eksempel settes opp DNS-tjenere som gjør at man sendes til falske websider. Ormen vil også redusere ytelsen for bredbåndsforbindelsen og kunne gi midlertidige avbrudd.

Angrepene er så langt kun knyttet mot rutere hos visse bredbåndsleverandører, blant annet i USA, Canada, Romania, Nederland, Malaysia og Brasil. Ifølge Ars Technica var det en canadisk internettleverandør som først meldte om problemet til SANS Technology Institute med bakgrunn i at de så mistenkelig trafikk hos sine kunder.

Ifølge SANS Technology Institute skal rutermodellene E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 og E900 være berørt. De vil imidlertid ikke utelukke at det gjelder flere modeller, men at ormen nå i første omgang fokuserer på enkelte spesifikke modeller. Det antydes imidlertid også at andre serier fra Linksys potensielt er åpen for angrep fra ormen - inkludert modeller i WRT-serien.

For noen av de berørte modellene kan det se ut som nyere firmware-oppdateringer har lukket sikkerhetssårbarheten som utnyttes. Det er ellers bare rutere som er åpnet for fjernadministrasjon som er eksponert for trusselen. Ifølge sikkerhetsekspert Einar Otto Stangvik, som står bak nettstedet usikkert.no , skal imidlertid flere tusen norske rutere kunne være sårbare.

Tilbakemeldingen fra Linksys er at de jobber med å undersøke saken og forventer å komme med oppdatert programvare til flere rutermodeller. En omstart av ruteren vil midlertidig drepe ormen - helt til ruteren på nytt blir infisert.

LES OGSÅ:

Sjekk Asus-ruteren din nå!