Abo
  • Services:
Anzeige
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen.
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen. (Bild: Cisco)

The Moon: Wurm befällt Linksys-Router und verbreitet sich darüber

Security-Experten haben einen "The Moon" genannten Wurm entdeckt, der sich in Routern von Linksys einnistet. Über diese Geräte versucht das Programm, weitere Router zu infizieren. Woher die Software stammt und welchen Zweck sie haben soll, liegt noch im Dunklen.

Anzeige

Die Sicherheitsforscher des US-Unternehmens Sans berichten von einem Wurm, der bestimmte Routermodelle von Linksys befällt. Das Programm wird auf den Routern selbst ausgeführt und versucht, sich über die Ports 80 und 8080 zu verbreiten. Dazu kontaktiert es bestimmte IP-Bereiche von Providern, um dort einen weiteren Linksys-Router mit derselben Schwachstelle zu finden. Dadurch war der Wurm bei einem Provider im US-Bundesstaat Wyoming auch zuerst aufgefallen, dessen Kunden ihn wegen eines langsamen Internetzugangs ansprachen - der Wurm hatte fast die gesamte Bandbreite der Anschlüsse belegt.

Die Lücke der Router liegt in einem schlecht gesicherten Zugang für die Fernwartung des Geräts (HNAP), durch den sich Skripte und dann auch Binärprogramme in den Router einpflanzen können. Das tut der Wurm in mehreren Schritten, die eigentliche Software ist rund 2 MByte groß. Nach dem bisherigen Stand der Untersuchungen wird dabei die Firmware nicht dauerhaft verändert. Werden die Router aus- und eingeschaltet, ist der Wurm verschwunden.

Auch direkte Schadfunktionen wurden noch nicht gefunden, es gibt jedoch Hinweise darauf, dass die befallenen Router für ein Botnetz verwendet werden könnten. Wohl um sich im Netz des Providers zu tarnen, trägt der Wurm manchmal statt dem DNS des Providers die Adressen der Google-Nameserver im Router ein. Bisher gibt es keinen sichtbaren Zusammenhang des Wurms mit der kürzlich bekanntgewordenen Lücke mit einer Backdoor auf dem Port 32764, von der auch Linksys-Router betroffen sind.

Verbindung zu Science-Fiction-Film

In den Binärdateien des Programms befinden sich auch einige Bilder, die eine Verbindung zu dem Science-Fiction-Film "Moon" aus dem Jahr 2009 nahelegen. Eines der Bilder ist das Logo der erfundenen Firma "Lunar Industries Ltd.", die in dem Film vorkommt. Daher haben die Sicherheitsforscher den Wurm auch "The Moon" genannt.

Das Unternehmen Sans nennt derzeit nur die Routermodelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900 von Linksys als betroffene Geräte. Im Forum von Ars Technica hat sich aber auch der Provider aus Wyoming gemeldet, er bezeichnet auch WRT-Router prinzipiell als anfällig. Insbesondere soll das Modell WRT160 von dem Wurm genutzt werden können, weitere Modelle nennt der Provider nicht.

Zu den bisherigen Untersuchungen des Wurms hat Sans eine knappe Zusammenfassung erstellt, die durch eine ausführlichere Beschreibung inklusive decodierter Code-Beispiele ergänzt wird.

Nachtrag vom 17. Februar 2014, 11:55 Uhr

Linksys hat den Fehler in seinem Supportforum bestätigt. Um eine Infektion des Routers mit dem Wurm zu verhindern, reicht es laut Angaben des Unternehmens, die Fernwartung abzuschalten. Danach muss - wie die Entdecker der Lücke schon beschrieben hatten - das Gerät aus- und wieder eingeschaltet werden. "In den kommenden Wochen", so Linksys, soll eine neue Firmware die Lücke schließen.


eye home zur Startseite
hallihallo 20. Mär 2014

Ich hoffe, dass es das Internet of Things in dieser unsicheren Form niemals geben wird...

486dx4-160 15. Feb 2014

das war vor 10 Jahren

TC 15. Feb 2014

kT

nie (Golem.de) 15. Feb 2014

Laut den Entdeckern ist OpenWRT nicht betroffen, siehe hier in den Kommentaren: https...



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Garching bei München
  2. GEOCOM Informatik GmbH, verschiedene Standorte
  3. über Ratbacher GmbH, Münster
  4. PHOENIX group IT GmbH, Mannheim, Fürth


Anzeige
Top-Angebote
  1. 329,00€
  2. 59,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Wechsel zu VP9

    Youtube spielt keine 4K-Videos in Safari ab

  2. Steadicam Volt

    Steadicam-Halterung für die Hosentasche

  3. Eingefrorene Macs

    Apple aktualisiert Sicherheitsupdate

  4. Android Wear 2.0

    Erste neue Smartwatches kommen von LG

  5. Open Data

    Thüringen stellt Geodaten kostenfrei zur Verfügung

  6. Whistleblowerin

    Obama begnadigt Chelsea Manning

  7. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  8. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen

  9. Kartendienst

    Google Maps soll künftig Parksituation anzeigen

  10. PowerVR Series 8XE Plus

    Imgtechs Smartphone-GPUs erhalten ein Leistungsplus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Project CSX ZTEs Community-Smartphone kommt nicht gut an
  2. Google Pixel-Lautsprecher knackt bei maximaler Lautstärke
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: Was soll das?

    taschenorakel | 08:59

  2. Da irrst Du

    miauwww | 08:58

  3. Re: Nennt das Kind doch beim Namen ...

    Trollversteher | 08:56

  4. Re: an alle @assange schreier

    Oktavian | 08:55

  5. Re: Der Typ ist größenwahnsinnig

    Dwalinn | 08:54


  1. 08:59

  2. 08:44

  3. 08:21

  4. 08:18

  5. 06:01

  6. 22:50

  7. 19:05

  8. 17:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel