一种新的蠕虫病毒的目标是运行Linux和PHP x86计算机,以及变体还可能对设备,如家用路由器和基于其他芯片架构的机顶盒的威胁。
据赛门铁克,恶意软件利差通过利用在php-cgi的一个漏洞,它允许PHP在通用网关接口(CGI)的配置中运行的组件安全研究人员。该漏洞是跟踪为CVE-2012至1823年和PHP 5.4.3和PHP 5.3.13于2012年5月被修补。
赛门铁克的研究人员周三表示在,新的蠕虫病毒,它被命名为Linux.Darlloz,是基于证据的概念在十月底发布的代码博客文章。
“执行时,蠕虫生成IP [互联网协议]地址随机地,访问与公知的ID和密码的机器上的一个特定的路径,并发送HTTP POST请求,这利用该漏洞”的赛门铁克研究人员解释。“如果目标是打补丁,它从下载恶意服务器的蠕虫病毒,并开始寻找它的下一个目标。”
看到了这么远,蔓延的唯一目标变型x86系统,因为从攻击者的服务器下载恶意二进制文件是在对Intel平台的ELF(可执行和链接格式)格式。
然而,赛门铁克的研究人员声称,攻击者还举办了蠕虫的其他架构,包括ARM,PPC,MIPS和MIPSEL的变体。
这些架构是在像家用路由器,IP摄像机,机顶盒和其他许多嵌入式设备使用。
“攻击者显然是想最大限度地将服务范围扩大到在Linux上运行的任何设备上的感染机会,”赛门铁克研究人员说。“不过,我们还没有证实针对非PC设备的攻击呢。”
许多嵌入式设备的固件是基于某种类型的Linux,包括用PHP Web服务器的基于Web的管理界面。因为他们没有收到更新非常频繁,这些类型的设备可能更容易妥协比Linux PC或服务器。
修补在嵌入式设备中的漏洞从来就不是一件容易的事。许多厂商没有发布定期更新,当他们这样做,用户往往不能正确了解固定在这些更新的安全问题。
此外,在嵌入式设备上安装更新的需要比更新的计算机上安装常规的软件更多的工作和技术知识。用户必须知道那里的更新发布,手动下载它们,然后将它们上传通过一个基于Web的管理界面,他们的设备。
“他们是在自己的家中或办公室使用易受攻击的设备很多用户可能不知道,”赛门铁克研究人员说。“我们可能面临的另一个问题是,即使用户注意到易受攻击的设备,没有更新已经由供应商提供的一些产品,因为产品过时的技术或硬件的局限性,如没有足够的内存或CPU太慢,以支持新版本的软件“。
从蠕虫来保护他们的设备,建议用户验证,如果这些设备运行最新版本的固件,如果需要更新固件,强大的管理密码和区块设置HTTP POST请求/目录/ php, - /目录/ php5 - /目录/ php-cgi, - /目录/ php.cgi和/目录/ php4,每个设备上从网关防火墙或如果可能,赛门铁克的研究人员说。