ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Linksys-Router-Wurm verbreitet sich schnell

Ferdinand Thommes
15 Kommentare

Der Wurm „The Moon“ befällt Router von Belkins Endverbraucher-Marke Linksys, betroffen sind nach aktuellem Kenntnisstand die Modelle Linksys E1000, E1200 und E2400. Von diesen Routern sind bisher rund 1.000 Infektionen bekannt, doch die Zahl wird sich schnell potenzieren, denn jedes infizierte Gerät sucht weitere Opfer.

Der Sicherheitsexperte Johannes B. Ullrich vom „SANS Technology Institute“ warnt daher auch, der Wurm könne sich weltweit explosionsartig verbreiten. Zudem sind weitere Modelle wie E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500 und E900 sowie Geräte der Wireless-N-Serie wie WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N und WRT150N vermutlich ebenfalls verwundbar. Belkin bestätigte, dass auch letztere Serie betroffen ist, nannte aber keine konkreten Modelle.

Unklar ist bisher, was der Wurm bezweckt. Nach den bisherigen Erkenntnissen ist seine einzige Schadfunktion, dass befallene Router nach weiteren verwundbaren Geräten scannen. Der Wurm verbindet sich auf Port 8080 und liest die Hardware- und Firmware-Version des Geräts aus. Ist das Gerät verwundbar, sendet die Malware einen Exploit an ein CGI-Script des Administrationsbereichs des Routers, das eine Lücke aufweist, indem es keine Authentifizierung erfordert.

Daraufhin wird die eigentliche Schadfunktion mit einer Größe vom zwei Megabyte heruntergeladen. Der Wurm bringt eine Liste von weltweit 670 Netzwerken mit, in denen er nach weiteren Opfern sucht. Ebenfalls mit an Bord ist ein kleiner HTTP-Server, der bei der Verbreitung des Wurms assistiert. Der vermeintliche Wurm könnte auch ein Bot sein, so die Sicherheits-Experten, denn er enthält nach bisherigen Erkenntnissen rudimentäre Funktionen, um mit Command and Control-Kanälen im IRC zu kommunizieren.

Anzeichen für eine Infektion sind starker Datenverkehr auf den Ports 80 und 8080 nach Außen sowie Verbindungsversuche von Außen auf Portnummern unter 1024. Belkin, die die Marke Linksys vor einem Jahr von Cisco gekauft haben, ist über die Lücke in dem CGI-Script informiert. Am Sonntag war von einem Hacker ein Proof-of-Concept-Exploit veröffentlicht worden. Eine Belkin-Sprecherin erklärte, der Wurm könne ein Gerät nur infizieren, wenn die Funktion „Remote Management Access“ aktiv sei. Bei Auslieferung sei diese deaktiviert. Das Deaktivieren dieser Funktion durch den Endanwender mit einem anschließenden Neustart des Routers entferne den Wurm von infizierten Geräten. Auf seiner Webseite hat Belkin Instruktionen zum Firmware-Update sowie zur Deaktivierung des Remote Management Access veröffentlicht.

Bereits im Januar berichteten wir über verwundbare Router von Linksys und Netgear.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz