Linksys-Router-Wurm verbreitet sich schnell
Der Wurm „The Moon“ befällt Router von Belkins Endverbraucher-Marke Linksys, betroffen sind nach aktuellem Kenntnisstand die Modelle Linksys E1000, E1200 und E2400. Von diesen Routern sind bisher rund 1.000 Infektionen bekannt, doch die Zahl wird sich schnell potenzieren, denn jedes infizierte Gerät sucht weitere Opfer.
Der Sicherheitsexperte Johannes B. Ullrich vom „SANS Technology Institute“ warnt daher auch, der Wurm könne sich weltweit explosionsartig verbreiten. Zudem sind weitere Modelle wie E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500 und E900 sowie Geräte der Wireless-N-Serie wie WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N und WRT150N vermutlich ebenfalls verwundbar. Belkin bestätigte, dass auch letztere Serie betroffen ist, nannte aber keine konkreten Modelle.
Unklar ist bisher, was der Wurm bezweckt. Nach den bisherigen Erkenntnissen ist seine einzige Schadfunktion, dass befallene Router nach weiteren verwundbaren Geräten scannen. Der Wurm verbindet sich auf Port 8080 und liest die Hardware- und Firmware-Version des Geräts aus. Ist das Gerät verwundbar, sendet die Malware einen Exploit an ein CGI-Script des Administrationsbereichs des Routers, das eine Lücke aufweist, indem es keine Authentifizierung erfordert.
Daraufhin wird die eigentliche Schadfunktion mit einer Größe vom zwei Megabyte heruntergeladen. Der Wurm bringt eine Liste von weltweit 670 Netzwerken mit, in denen er nach weiteren Opfern sucht. Ebenfalls mit an Bord ist ein kleiner HTTP-Server, der bei der Verbreitung des Wurms assistiert. Der vermeintliche Wurm könnte auch ein Bot sein, so die Sicherheits-Experten, denn er enthält nach bisherigen Erkenntnissen rudimentäre Funktionen, um mit Command and Control-Kanälen im IRC zu kommunizieren.
Anzeichen für eine Infektion sind starker Datenverkehr auf den Ports 80 und 8080 nach Außen sowie Verbindungsversuche von Außen auf Portnummern unter 1024. Belkin, die die Marke Linksys vor einem Jahr von Cisco gekauft haben, ist über die Lücke in dem CGI-Script informiert. Am Sonntag war von einem Hacker ein Proof-of-Concept-Exploit veröffentlicht worden. Eine Belkin-Sprecherin erklärte, der Wurm könne ein Gerät nur infizieren, wenn die Funktion „Remote Management Access“ aktiv sei. Bei Auslieferung sei diese deaktiviert. Das Deaktivieren dieser Funktion durch den Endanwender mit einem anschließenden Neustart des Routers entferne den Wurm von infizierten Geräten. Auf seiner Webseite hat Belkin Instruktionen zum Firmware-Update sowie zur Deaktivierung des Remote Management Access veröffentlicht.
Bereits im Januar berichteten wir über verwundbare Router von Linksys und Netgear.