Symantec, "Nesnelerin İnterneti"‘ni hedef alabilecek yeni bir Linux solucanı keşfetti. Solucan, internet erişimi olan küçük cihazlardan, geleneksel bilgisayarlara kadar geniş bir aralıkta saldırı kabiliyetine sahip. Evde kullanılan router'lardan, set-top box'lara ve güvenlik kameralarına kadar hedef alabilmekte. Ayrıca bu sistemlere karşı serbest ortamda saldırı tespit edilmedi, bir çok kullanıcı ise Linux çalıştıran cihazlara sahip olduğundan dahi habersiz olduğu için riskin farkında dahi değil.

Linux.Darlloz solucanı kendisini yaymak için PHP zafiyetini kullanıyor. Solucan, 2012 Mayıs ayında yamalanan PHP ‘php-cgi' bilgi ifşası zafiyetini (CVE-2012-1823) zafiyetini suistimal ediyor. Saldırgan ise solucanı Ekim 2013 sonlarında yayınlanan bir PoC(proof of concept) kodunu temel alarak geliştirmiş.

Çalıştırıldıktan sonra solucan rastgele IP adresleri üreterek, sistemde özel bir dizine bilinen ID ve şifrelerle erişip, zafiyeti suistimal eden HTTP POST istekleri gönderiyor. Eğer hedef yamalanmamışsa, solucan kendisini sunucudan hedef sisteme indirtiyor ve yeni bir hedef aramak üzere hedef sistem üzerinde de kendini çalıştırıyor. Solucanın indirme adresi (URL), çalıştırılabilir ELF koduna gömülürken Intel mimarisi baz alınarak kodlandığı için, şu anda solucan sadece Intel x86 sistemlere bulaşmakta.

Linux, bir çok çip ve donanım mimarisine uyarlanmış olan ve en iyi bilinen açık kaynaklı işletim sistemi. Linux, sadece Intel tabanlı bilgisayarlarda çalışmamakta, ayrıca evlerde kullanılan adsl router-modemler, güvenlik kameraları ve hatta endüstriyel sistemler gibi farklı CPU aileleri kullanan cihazlarda da yaygın olarak bulunmakta. Bu sistemlerin bazıları, yönetim ve izleme için kendi üzerlerinde Apache ve PHP üzerine geliştirilmiş web arabirimleri sunmaktalar.

ARM_0

ELF başlık bilgisindeki "e_machine" değeri solucanın ARM mimarisi için olduğunu gösteriyor.

 

Saldırganın, kapsama alanını "Linux ile çalışan tüm cihazlar" olarak geniş tutarak, enfeksiyon noktalarını genişletmek istediği görünmekte. Fakat henüz PC olmayan cihazlara yönelik teyit edilmiş bir saldırı bulunmamakta.

Solucan enfeksiyonundan korunmak için Symantek aşağıdaki önlemleri almanızı öneriyor:

  • Ağınıza bağlı tüm cihazların zafiyette karşı test edip zayıf durumda olmadıklarını teyit edin.
  • Cihazlarınızın yazılımlarını güncelleyin
  • Cihazlarınız için güvenlik güncelleştirmeleri çıktığında uygulayın
  • Şifrelerini daha kuvvetli hale getirin
  • Kullanılması gerekmedikçe tüm cihazlara doğru aşağıdaki istekleri içeren HTTP POST isteklerini engelleyin
    • -/cgi-bin/php
    • -/cgi-bin/php5
    • -/cgi-bin/php-cgi
    • -/cgi-bin/php.cgi
    • -/cgi-bin/php4

(Kaynakhttp://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices)

BOA Yorumu

Aslında "internet of things" kavramından önce, 2005 yılında (eski bir X-Force üyesi olan) Michael Lynn tarafından Cisco router'larda remote code execution uygulanabildiğini göstermişti. Bu, aynı zamanda Cisco router worm yazılabileceği anlamına da gelmekteydi. Özellikle ISP'lerdeki Cisco yoğunluğunun bugünden daha yoğun olduğu 2005 yılı için değerlendirilirse, teorik olarak böyle bir worm internet altyapısına çok büyük zarar verebilirdi. Hatta Lunn, bu sunumu Blackhat'de yapamadan, DHS (Department of Homeland Security) tarafından göz altına alınmış ve Blackhat salonunda FBI ajanları tek tek bildirge kitabından Lynn'in sunumuna ait kısımları yırtarken videoya çekilmişti.

Bu zafiyet aslında daha kolay kullanılabilir ve anlaşılabilir bir zafiyet olması sebebiyle gündeme gelmiş olsa da, nesnelerin interneti veya cihazlara bulaşan solucanlar yeni bir gündem veya yeni bir tehdit değil. Fakat, zaten zafiyetler için "reliable exploit" (sağlıklı çalışan suistimal aracı) geliştirmek zorken, bir de bunun farklı platformlarda ve tespit edemediği firmware sürümlerinde çalışması, üst düzey bir mühendislik gerektirmekte; bu çalışma da hem insan kaynağı hem benzer ortam oluşturma yatırımları sebebiyle günümüzde ancak devlet destekli bir program dahilinde yürütülebilir gibi görünmekte.