Abo
  • IT-Karriere:

The Moon: Wurm befällt Linksys-Router und verbreitet sich darüber

Security-Experten haben einen "The Moon" genannten Wurm entdeckt, der sich in Routern von Linksys einnistet. Über diese Geräte versucht das Programm, weitere Router zu infizieren. Woher die Software stammt und welchen Zweck sie haben soll, liegt noch im Dunklen.

Artikel veröffentlicht am ,
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen.
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen. (Bild: Cisco)

Die Sicherheitsforscher des US-Unternehmens Sans berichten von einem Wurm, der bestimmte Routermodelle von Linksys befällt. Das Programm wird auf den Routern selbst ausgeführt und versucht, sich über die Ports 80 und 8080 zu verbreiten. Dazu kontaktiert es bestimmte IP-Bereiche von Providern, um dort einen weiteren Linksys-Router mit derselben Schwachstelle zu finden. Dadurch war der Wurm bei einem Provider im US-Bundesstaat Wyoming auch zuerst aufgefallen, dessen Kunden ihn wegen eines langsamen Internetzugangs ansprachen - der Wurm hatte fast die gesamte Bandbreite der Anschlüsse belegt.

Stellenmarkt
  1. OMICRON electronics GmbH, Klaus (Österreich)
  2. STRABAG BRVZ GMBH & CO.KG, Stuttgart

Die Lücke der Router liegt in einem schlecht gesicherten Zugang für die Fernwartung des Geräts (HNAP), durch den sich Skripte und dann auch Binärprogramme in den Router einpflanzen können. Das tut der Wurm in mehreren Schritten, die eigentliche Software ist rund 2 MByte groß. Nach dem bisherigen Stand der Untersuchungen wird dabei die Firmware nicht dauerhaft verändert. Werden die Router aus- und eingeschaltet, ist der Wurm verschwunden.

Auch direkte Schadfunktionen wurden noch nicht gefunden, es gibt jedoch Hinweise darauf, dass die befallenen Router für ein Botnetz verwendet werden könnten. Wohl um sich im Netz des Providers zu tarnen, trägt der Wurm manchmal statt dem DNS des Providers die Adressen der Google-Nameserver im Router ein. Bisher gibt es keinen sichtbaren Zusammenhang des Wurms mit der kürzlich bekanntgewordenen Lücke mit einer Backdoor auf dem Port 32764, von der auch Linksys-Router betroffen sind.

Verbindung zu Science-Fiction-Film

In den Binärdateien des Programms befinden sich auch einige Bilder, die eine Verbindung zu dem Science-Fiction-Film "Moon" aus dem Jahr 2009 nahelegen. Eines der Bilder ist das Logo der erfundenen Firma "Lunar Industries Ltd.", die in dem Film vorkommt. Daher haben die Sicherheitsforscher den Wurm auch "The Moon" genannt.

Das Unternehmen Sans nennt derzeit nur die Routermodelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900 von Linksys als betroffene Geräte. Im Forum von Ars Technica hat sich aber auch der Provider aus Wyoming gemeldet, er bezeichnet auch WRT-Router prinzipiell als anfällig. Insbesondere soll das Modell WRT160 von dem Wurm genutzt werden können, weitere Modelle nennt der Provider nicht.

Zu den bisherigen Untersuchungen des Wurms hat Sans eine knappe Zusammenfassung erstellt, die durch eine ausführlichere Beschreibung inklusive decodierter Code-Beispiele ergänzt wird.

Nachtrag vom 17. Februar 2014, 11:55 Uhr

Linksys hat den Fehler in seinem Supportforum bestätigt. Um eine Infektion des Routers mit dem Wurm zu verhindern, reicht es laut Angaben des Unternehmens, die Fernwartung abzuschalten. Danach muss - wie die Entdecker der Lücke schon beschrieben hatten - das Gerät aus- und wieder eingeschaltet werden. "In den kommenden Wochen", so Linksys, soll eine neue Firmware die Lücke schließen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 44,99€
  3. (-25%) 44,99€

hallihallo 20. Mär 2014

Ich hoffe, dass es das Internet of Things in dieser unsicheren Form niemals geben wird...

486dx4-160 15. Feb 2014

das war vor 10 Jahren

TC 15. Feb 2014

kT

nie (Golem.de) 15. Feb 2014

Laut den Entdeckern ist OpenWRT nicht betroffen, siehe hier in den Kommentaren: https...


Folgen Sie uns
       


LED-Projektor Viewsonic X10-4K - Test

Der Viewsonic X10-4K ist ein heller und farbtreuer 4K-Projektor - und kann einen Smart-TV ersetzen.

LED-Projektor Viewsonic X10-4K - Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

    •  /