Alfonso Maruccia

Moose, il worm alla carica dei router Linux

Identificato un nuovo agente patogeno progettato per infettare i sistemi embedded basati su Linux, una minaccia che, diversamente dal solito, si limita a contraffare le interazioni social dell'utente. I router sono sempre pių vulnerabili

Roma - Gli analisti di sicurezza di ESET hanno individuato Moose, un worm per Linux che prende principalmente di mira i router con firmware FOSS: nulla di particolarmente originale a parte il payload, pensato per interferire con i profili dei social network associati all'utente infetto.

Una volta infettato un router vulnerabile, dicono i ricercatori di ESET, Moose parte alla caccia di altri dispositivi adatti a diffondere ulteriormente l'infezione; nel mentre, alcuni dei numerosi thread aperti dal malware monitorano il traffico di rete non criptato per "rubare" i cookie HTTP.

Una volta identificati i token di registrazione ai social network più popolari come Facebook, YouTube e Twitter, infine, il worm esegue operazioni fraudolente sui profili dell'utente come la generazione di follower, visite e "mi piace" fasulli. Ulteriore capacità di Moose è la redirezione del traffico DNS, un modo con cui gli autori del malware possono mettere in pratica attacchi "man-in-the-middle" online.
L'insolita minaccia di Moose si applica anche ad altri dispositivi embedded basati su Linux oltre ai router di rete, dicono i ricercatori. Per quanto riguarda la rimozione, infine, da ESET suggeriscono di riavviare il dispositivo infetto e di modificare la password quanto prima possibile. Un'infezione permanente del firmware è però sempre in agguato, avvertono i ricercatori.

La minaccia di Moose rappresenta la conferma del rischio crescente posto dai router di rete vulnerabili, e in questo ambito la presenza di un kernel Linux sul sistema è un rischio più che una garanzia di sicurezza. Un nuovo allarme in tal senso arriva dall'hacker white-hat "Kafeine", a dire del quale una vulnerabilità già nota dall'inizio di marzo è ora attivamente sfruttata per compromettere più di 40 modelli di router diversi.

Alfonso Maruccia
Notizie collegate
  • SicurezzaNetUSB, la falla che viene da lontanoI ricercatori individuano una pericolosa falla di sicurezza in un driver di Linux, un problema che sembra venire dagli anni '90 e che mette a rischio i proprietari di un gran numero di router basati sul kernel FOSS
15 Commenti alla Notizia Moose, il worm alla carica dei router Linux
Ordina
  • noto con piacere che moderate i post che non vi garbano, specialmente quando si tratta di minimizzare i titoloni ad effetto.

    per chiarezza, cito le VOSTRE linee guida sui commenti:

    'Prima di pubblicare un tuo commento assicurati che:

        sia in tema e contribuisca alla discussione in corso
        non abbia contenuto razzista o sessista
        non sia offensivo, calunnioso o diffamante

    La redazione con i controlli a campione si riserva di cancellare qualsiasi contenuto ingiurioso, volgare, illegale o contrario alla policy.'

    bene, il worm in questione, stando alla documentazione di ESET (http://www.welivesecurity.com/wp-content/uploads/2... - pagina 7 per i frettolosi) puo' compromettere device con password di default o deboli e NON sfrutta NESSUNA vulnerabilita'.

    siccome il commento e' in linea con le VOSTRE policy, non mi apetto un'ulteriore censura.
    non+autenticato
  • Lo dice sin dall' inizio alla pagina 5... le prime 4 sono occupate dal logo dell' azienda e dall' indice.

    "Linux/Moose does not have a persistence mechanism and does not provide a generic backdoor shell access to the botnet operator. No vulnerability is exploited at any time during its operation; it spreads by finding routers with weak credentials."
    non+autenticato
  • - Scritto da: marcione

    > puo' compromettere device con password di default
    > o deboli e NON sfrutta NESSUNA vulnerabilita'.

    Non so se è questo il caso, ma ci sono avariati router con utenti e password 'di diagnosi' che hanno ancora più privilegi di admin in ambito configurazione.
    Di solito l'utente si chiama 'super'
    In questo caso la vulnerabilità c'è eccome visto che all'acquirente di questo utente non si fa cenno e non c'è un modo previsto dall'interfaccia di amministrazione nè di disabilitarlo nè di cambarne la password.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: marcione

    > > puo' compromettere device con password di
    > > default o deboli e NON sfrutta NESSUNA
    > > vulnerabilita'.

    > Non so se è questo il caso, ma ci sono avariati
    > router con utenti e password 'di diagnosi' che
    > hanno ancora più privilegi di admin in ambito
    > configurazione.

    Non è questo il caso.

    > Di solito l'utente si chiama 'super'
    > In questo caso la vulnerabilità c'è eccome visto
    > che all'acquirente di questo utente non si fa
    > cenno e non c'è un modo previsto dall'interfaccia
    > di amministrazione nè di disabilitarlo nè di
    > cambarne la password.

    Se compri spazzatura non è colpa di nessuno... Informarsi prima di acquistare è fondamentale.
    non+autenticato
  • - Scritto da: Tox

    > Se compri spazzatura non è colpa di nessuno...
    > Informarsi prima di acquistare è
    > fondamentale.

    non te lo vengono certo a dire, sono cose che vengono divulgate POI... ROTFL
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Tox
    >
    > > Se compri spazzatura non è colpa di
    > nessuno...
    > > Informarsi prima di acquistare è
    > > fondamentale.
    >
    > non te lo vengono certo a dire, sono cose che
    > vengono divulgate POI...
    > ROTFL

    Quale sarebbe lo standard dietro la funzionalità netusb? Non c' è: è monnezza proprietaria. Bastava dare un' occhiata sul retro della confezione.
    non+autenticato
  • - Scritto da: ofix

    > Quale sarebbe lo standard dietro la funzionalità
    > netusb? Non c' è: è monnezza proprietaria.
    > Bastava dare un' occhiata sul retro della
    > confezione.

    sì certo tucu, 90 su 100 anceh i lrouter che usi tu è bucabile, ma tu xonitnua e leggere il retro delle confezioni.
    Magari ci sono anche le istruzioni per i descrambler che decodificano senza chiave!
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ofix
    >
    > > Quale sarebbe lo standard dietro la
    > funzionalità
    > > netusb? Non c' è: è monnezza proprietaria.
    > > Bastava dare un' occhiata sul retro della
    > > confezione.
    >
    > sì certo tucu,

    ?

    > 90 su 100 anceh i lrouter che usi
    > tu è bucabile, ma tu xonitnua e leggere il retro
    > delle
    > confezioni.

    Eccome se continuo, a differenza di molti. Se non vuoi sbatterti con kle ricerche basta guardare qui:

    https://librecmc.org/librecmc/wiki?name=Supported_...

    > Magari ci sono anche le istruzioni per i
    > descrambler che decodificano senza
    > chiave!

    Magari, magari, magariiiii...

    Magari il mio non ha una porta usb col driver closed taiwanese tanto per cominciare... sai, guardo le specifiche prima di comprare.
    non+autenticato
  • - Scritto da: ofix
    > - Scritto da: ...
    > > - Scritto da: ofix
    > >
    > > > Quale sarebbe lo standard dietro la
    > > funzionalità
    > > > netusb? Non c' è: è monnezza proprietaria.
    > > > Bastava dare un' occhiata sul retro della
    > > > confezione.
    > >
    > > sì certo tucu,
    >
    > ?
    >
    > > 90 su 100 anceh i lrouter che usi
    > > tu è bucabile, ma tu xonitnua e leggere il retro
    > > delle
    > > confezioni.
    >
    > Eccome se continuo, a differenza di molti. Se non
    > vuoi sbatterti con kle ricerche basta guardare
    > qui:
    >
    > https://librecmc.org/librecmc/wiki?name=Supported_
    con questa roba pero' al max ti buchi (tenti di bucarti) da solo (no ADSL... grazie ai soliti oem barzocchi...)
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ofix
    >
    > > Quale sarebbe lo standard dietro la
    > funzionalità
    > > netusb? Non c' è: è monnezza proprietaria.
    > > Bastava dare un' occhiata sul retro della
    > > confezione.
    >
    > sì certo tucu, 90 su 100 anceh i lrouter che usi
    > tu è bucabile, ma tu xonitnua e leggere il retro
    > delle
    > confezioni.
    > Magari ci sono anche le istruzioni per i
    > descrambler che decodificano senza
    > chiave!
    In effetti è complicato "leggere la confezione" di openWrt.
    A bocca aperta
    Non fosse altro che perchè non c'è
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: marcione
    >
    > > puo' compromettere device con password di
    > default
    >
    > > o deboli e NON sfrutta NESSUNA
    > vulnerabilita'.
    >
    > Non so se è questo il caso,

    Ti hanno passato il link alla documentazione e relativa pagina, sveja.

    > ma ci sono avariati
    > router con utenti e password 'di diagnosi' che
    > hanno ancora più privilegi di admin in ambito
    > configurazione.
    > Di solito l'utente si chiama 'super'
    > In questo caso la vulnerabilità c'è eccome visto
    > che all'acquirente di questo utente non si fa
    > cenno e non c'è un modo previsto dall'interfaccia
    > di amministrazione nè di disabilitarlo nè di
    > cambarne la
    > password.
    non+autenticato
  • Comunque volevo dire che il problema non e' il kernel linux ma il fatto che i produttori una volta venduto un dispositivo lo abbandonano a se stesso e non sono costretti a rilasciare fix di sicurezza...
    Qualsiasi software con qualsiasi kernel puo' essere vulnerabile e ne consegue che chi vende certi dispositivi dovrebbe garantire fix di sicurezza per un certo numero di anni...
    Poi che questo worm abbia cosi' tanto successo e' solo perche' il software di tutti questi router e' uguale ( a parte l'interfaccia web)
    non+autenticato
  • - Scritto da: Scumm78
    > Comunque volevo dire che il problema non e' il
    > kernel linux ma il fatto che i produttori una
    > volta venduto un dispositivo lo abbandonano a se
    > stesso e non sono costretti a rilasciare fix di
    > sicurezza...

    c'e' poca serieta' nel settore informatico andrebbero maggiormente responsabilizzati dopotutto si nascondono dietro il copyright come i cantastorie, un costruttore se sbaglia le fondamenta e crolla tutto va in galera se un medico sbaglia intervento viene messo sotto processo se sbagliano gli informatici sotto a scrivere la prossima canzone
    non+autenticato