Un ver nommé The Moon se balade sur certains routeurs Linksys

Après les utisateurs d'Internet Explorer 9 et 10 et la découverte d'un backdoor sur des routeurs Linksys et Netgear, c'est au tour des possesseurs de certains routeurs Linksys (E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900) d'être visités par un ver qui s'installe dans le système puis part à la recherche d'autres équipements à infecter. Seules certaines versions des firmwares seraient vulnérables. Pour le moment, à part se reproduire, le ver ne fait rien d'autre, ce qui empêche donc de le qualifier de bot. Toutefois, quelques lignes de l'exécutable vérolé font penser à la possibilité d'une prise de contrôle à distance pour en fait un bot.

Pour être vulnérable, le routeur doit avoir l'interface d'administration web activée. Le ver scanne alors les ports 80 et 8080 et s'ils sont ouverts, il envoie une requête à un script CGI qui contient la faille : le ver peut se logguer en admin sur le routeur avec n'importe quelles informations de connexion. Le ver lance ensuite un script shell pour télécharger un exécutable de 2 Mo. Et l'attaque repart de plus belle à partir de votre routeur, en uploadant le ver aux autres compères via un serveur HTTP sur les ports < 1024.

Si votre routeur ne fait que de scanner des ports 80 et 8080 à travers le net ou que vous recevez des tentatives de connexions des ports < 1024, vous pouvez être infecté. Pour se protéger et en attendant un patch de Linksys, vous pouvez désactiver l'interface d'administration, changer son port, restreindre son accès à certaines adresses IP voire opter pour le firmware alternatif OpenWRT. Pour plus d'informations et afin de suivre l'histoire en détail, n'hésitez pas à jeter un oeil au blog de l'Internet Storm Center. Pour la petite histoire, l'exécutable inclut des images du film The Moon, d'où son nom.

Thibaut qui essaye de s'introduire dans un routeur.