Abo
  • Services:
Anzeige
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen.
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen. (Bild: Cisco)

The Moon: Wurm befällt Linksys-Router und verbreitet sich darüber

Security-Experten haben einen "The Moon" genannten Wurm entdeckt, der sich in Routern von Linksys einnistet. Über diese Geräte versucht das Programm, weitere Router zu infizieren. Woher die Software stammt und welchen Zweck sie haben soll, liegt noch im Dunklen.

Anzeige

Die Sicherheitsforscher des US-Unternehmens Sans berichten von einem Wurm, der bestimmte Routermodelle von Linksys befällt. Das Programm wird auf den Routern selbst ausgeführt und versucht, sich über die Ports 80 und 8080 zu verbreiten. Dazu kontaktiert es bestimmte IP-Bereiche von Providern, um dort einen weiteren Linksys-Router mit derselben Schwachstelle zu finden. Dadurch war der Wurm bei einem Provider im US-Bundesstaat Wyoming auch zuerst aufgefallen, dessen Kunden ihn wegen eines langsamen Internetzugangs ansprachen - der Wurm hatte fast die gesamte Bandbreite der Anschlüsse belegt.

Die Lücke der Router liegt in einem schlecht gesicherten Zugang für die Fernwartung des Geräts (HNAP), durch den sich Skripte und dann auch Binärprogramme in den Router einpflanzen können. Das tut der Wurm in mehreren Schritten, die eigentliche Software ist rund 2 MByte groß. Nach dem bisherigen Stand der Untersuchungen wird dabei die Firmware nicht dauerhaft verändert. Werden die Router aus- und eingeschaltet, ist der Wurm verschwunden.

Auch direkte Schadfunktionen wurden noch nicht gefunden, es gibt jedoch Hinweise darauf, dass die befallenen Router für ein Botnetz verwendet werden könnten. Wohl um sich im Netz des Providers zu tarnen, trägt der Wurm manchmal statt dem DNS des Providers die Adressen der Google-Nameserver im Router ein. Bisher gibt es keinen sichtbaren Zusammenhang des Wurms mit der kürzlich bekanntgewordenen Lücke mit einer Backdoor auf dem Port 32764, von der auch Linksys-Router betroffen sind.

Verbindung zu Science-Fiction-Film

In den Binärdateien des Programms befinden sich auch einige Bilder, die eine Verbindung zu dem Science-Fiction-Film "Moon" aus dem Jahr 2009 nahelegen. Eines der Bilder ist das Logo der erfundenen Firma "Lunar Industries Ltd.", die in dem Film vorkommt. Daher haben die Sicherheitsforscher den Wurm auch "The Moon" genannt.

Das Unternehmen Sans nennt derzeit nur die Routermodelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900 von Linksys als betroffene Geräte. Im Forum von Ars Technica hat sich aber auch der Provider aus Wyoming gemeldet, er bezeichnet auch WRT-Router prinzipiell als anfällig. Insbesondere soll das Modell WRT160 von dem Wurm genutzt werden können, weitere Modelle nennt der Provider nicht.

Zu den bisherigen Untersuchungen des Wurms hat Sans eine knappe Zusammenfassung erstellt, die durch eine ausführlichere Beschreibung inklusive decodierter Code-Beispiele ergänzt wird.

Nachtrag vom 17. Februar 2014, 11:55 Uhr

Linksys hat den Fehler in seinem Supportforum bestätigt. Um eine Infektion des Routers mit dem Wurm zu verhindern, reicht es laut Angaben des Unternehmens, die Fernwartung abzuschalten. Danach muss - wie die Entdecker der Lücke schon beschrieben hatten - das Gerät aus- und wieder eingeschaltet werden. "In den kommenden Wochen", so Linksys, soll eine neue Firmware die Lücke schließen.


eye home zur Startseite
hallihallo 20. Mär 2014

Ich hoffe, dass es das Internet of Things in dieser unsicheren Form niemals geben wird...

486dx4-160 15. Feb 2014

das war vor 10 Jahren

TC 15. Feb 2014

kT

nie (Golem.de) 15. Feb 2014

Laut den Entdeckern ist OpenWRT nicht betroffen, siehe hier in den Kommentaren: https...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, München
  2. MBtech Group GmbH & Co. KGaA, Stuttgart
  3. Rohde & Schwarz GmbH & Co. KG, München
  4. Detecon International GmbH, deutschlandweit / internationaler Einsatz


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 9,99€
  3. 17,99€

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Ein Hoffnungsschimmer für die Netzpolitik

  2. iZugar

    220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

  3. PowerVR

    Chinesen kaufen Imagination Technologies

  4. Zukunftsreifen

    Michelin will schwammartiges Rad für fahrerlose Autos bauen

  5. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  6. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  7. FTTH

    CDU für Verkauf der Telekom-Aktien

  8. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  9. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  10. Fahrdienst

    London stoppt Uber, Protest wächst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: So ein Quatsch - was ist das für ein Blödsinn

    ArcherV | 08:14

  2. Re: Jamaika wird nicht halten

    matok | 08:06

  3. Re: Ich feier das Ergebnis der AfD!

    matok | 08:04

  4. Re: Das stimmt imho so nicht, ...

    ArcherV | 08:04

  5. Re: wieso denn Neuwahlen?

    RipClaw | 08:01


  1. 07:52

  2. 07:33

  3. 07:25

  4. 07:17

  5. 19:04

  6. 15:18

  7. 13:34

  8. 12:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel