Software::Security
Symantec warnt vorsorglich vor Linux-Wurm
Der Sicherheitsforscher Kaoru Hayashi beschreibt einen Linux-Wurm, der eine PHP-Lücke ausnutzt und neben PCs auch Router, Settop-Boxen, Überwachungskameras und andere Linux-basierte Geräte befallen könnte.
Der Wurm, den Hayashi im Blog von Symantec beschreibt, wurde bisher noch nicht in freier Wildbahn gesichtet. Seine Gefährlichkeit liegt vor allem darin begründet, dass viele Besitzer von Geräten, die auf Linux basieren, nichts von der Gefährdung wahrnehmen, da sie nicht wissen, dass etwa ihre Set-Top-Box intern Linux verwendet. Zudem erfahren solche Geräte selten bis nie Upgrades, die solche Lücken schließen.
Der Wurm, der auf den Namen Linux.Darlloz hört, nutzt eine Verwundbarkeit von PHP mit der Bezeichnung CVE-2012-1823, die bereits im Mai 2012 geschlossen wurde. Der Schädling basiert auf Proof-of-Concept-Code, der im Oktober 2013 veröffentlicht wurde. Der Wurm generiert auf befallenen Systemen wahllos HTTP-Adressen und versendet über einen bestimmten Pfad HTTP POST-Anfragen, um die Lücke auf ungepatchten Systemen auszunutzen, den Wurm von einem Server des Angreifers herunterzuladen und ihn im Netzwerk zu verbreiten. Von dem Schädling existieren neben einer Version für Intel-x86-CPUs bereits weitere Varianten in Architekturen wie ARM, PPC und MIPS, um möglichst viele sogenannte Machine-to-Machine-Geräte (M2M) abzudecken. Viele dieser Geräte weisen eine Web-basierte Nutzerschnittstelle auf. die, falls ungepatcht, über PHP-CGI angreifbar ist.
Als Vorsichtsmaßnahme empfiehlt Symantec, Geräte in Haushalt und Büro ausfindig zu machen, die betroffen sein könnten, und diese auf mögliche Aktualisierungen hin zu überprüfen. Weiterhin kann es helfen, eingehende HTTP POST Anfragen auf bestimmten Pfaden zu blockieren, sofern diese nicht benötigt werden. Dazu zählen -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi und -/cgi-bin/php4. Symantec schätzt das derzeitige Gefahrenpotenzial des Schädlings als gering ein, da bisher nur die Implementation für Intel-CPUs aktiv zu sein scheint. Generell wird das Bedrohungsszenario durch solche Schädlinge aber zunehmen, je mehr Geräte auf dem Markt sind, von denen viele Besitzer nicht einmal wissen, dass darin ein Betriebssystem arbeitet, geschweige denn, welches.
