Un malware surnommé "THE MOON" se propage sur des routeurs sans fil de la marque Linksys, une filiale de Cisco. Selon l'expert en sécurité Johannes Ullrich, les modèles E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, et E900 pourraient être touchés, selon la version du firmware installée.

Concrètement, le vers se connecte au port 8080 et demande à accéder à l'URL "/HNAP1/", qui renvoie une liste XML des fonctionnalités du routeur et des informations sur le firmware installé. Il extrait alors le modèle du routeur, et la version du logiciel interne, avant d'envoyer du code malicieux en mode CGI. Ce code lance un script shell qui a pour effet d'ordonner le téléchargement du vers lui-même, au format binaire ELF MIPS. 

Une fois le code exécuté, le routeur se met lui-même en chasse de nouveaux routeurs à infecter, et devient une source de téléchargement du code. 

Pour le moment, le vers ne semble rien faire de dommageable. Mais il s'agit très certainement d'une mise en attente d'ordres à venir.

Pour tester si votre routeur est vulnérable, il faut ouvrir un terminal et saisir la commande suivante :

echo "GET /HNAP1/ HTTP/1.1rnHost : testrnrn" | nc routerip 8080

Si vous obtenez en retour des informations formatées en XML sur votre routeur, c'est que vous êtes potentiellement infecté.

Partager sur les réseaux sociaux

Articles liés