Tag Archives: Linux

シマンテックは、「モノのインターネット」を狙う目的で設計されたと思われる新しい Linux ワームを発見しました。このワームは、従来のコンピュータだけでなく、さまざまな種類の小型のインターネット対応デバイスも攻撃する機能を備えています。家庭用ルーター、セットトップボックス、防犯カメラといったデバイスに通常搭載されているチップアーキテクチャごとに亜種が存在します。このようなデバイスへの攻撃はまだ確認されていないものの、その危険性があることに多くのユーザーは気付いていません。これは、自分が所有するデバイス上で Linux が稼働していることを知らないためです。

ワーム Linux.Darlloz は、PHP の脆弱性を悪用して自身を拡散します。ここで利用されているのは、「PHP の「php-cgi」に存在する情報漏えいの脆弱性」（CVE-2012-1823）で、2012 年 5 月にはパッチが公開されている古い脆弱性です。攻撃者は最近、2013 年 10 月末に公開された概念実証（PoC）コードに基づいてこのワームを作成したようです。

Linux.Darlloz は、実行されるとランダムに IP アドレスを生成し、よく使われている ID とパスワードの組み合わせでデバイス上の特定のパスにアクセスして、HTTP POST 要求を送信します。これが脆弱性を悪用しています。標的にパッチが適用されていない場合には、悪質なサーバーからワームをダウンロードして次の標的を探します。現在、このワームは Intel x86 系システムにしか感染しないようです。というのは、悪用コードのダウンロード URL が、Intel アーキテクチャ用の ELF バイナリにハードコード化されているからです。

Linux は、最もよく知られているオープンソース OS で、各種のアーキテクチャに移植されています。Intel ベースのコンピュータに限らず各種の CPU を搭載した小型デバイス、たとえば家庭用ルーターやセットトップボックス、防犯カメラから、産業用制御システムなどでも稼働しています。デバイスによっては、Apache Web サーバーや PHP サーバーなど、設定や監視に使う Web ベースのユーザーインターフェースも用意されています。

シマンテックは、この攻撃者が、同じサーバー上で ARM、PPC、MIPS、MIPSEL など Intel 以外のアーキテクチャ用の亜種をすでにホストしていることも確認しています。

図. ELF ヘッダーの “e_machine” 値を見ると、このワームが ARM アーキテクチャ用であることがわかる

これらのアーキテクチャのほとんどは、前述したようなデバイスで使われています。攻撃者は、Linux が稼働している各種のデバイスに攻撃範囲を広げることで、感染の可能性を最大限に拡大しようと試みているようですが、PC 以外のデバイスに対する攻撃はまだ確認されていません。

組み込みのオペレーティングシステムとソフトウェアを使うデバイスの製造元では、ユーザーに確認することなく製品を設定しているので、事態が複雑になっています。多くのユーザーは、家庭やオフィスで脆弱なデバイスを使っているとは認識していません。デバイスの脆弱性を仮にユーザーが認識していたとしても、製品によっては製造元から更新版が提供されないという別の問題もあります。これは、デバイスのメモリが不足していたり CPU が低速すぎたりして新しいバージョンのソフトウェアをサポートできないなど、旧式の技術やハードウェアの制限が原因となります。

Linux.Darlloz への感染を防ぐために、以下の処理を実行することをお勧めします。

1. ネットワークに接続されているすべてのデバイスを確認する。
2. デバイスのソフトウェアを最新のバージョンに更新する。
3. デバイスで使用できる場合には、セキュリティソフトウェアを更新する。
4. デバイスに強力なパスワードを設定する。
5. 以下のパスに対する着信 HTTP POST 要求が不要な場合には、ゲートウェイまたは各デバイスで遮断する。

• -/cgi-bin/php
• -/cgi-bin/php5
• -/cgi-bin/php-cgi
• -/cgi-bin/php.cgi
• -/cgi-bin/php4

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Symantec has discovered a new Linux worm that appears to be engineered to target the “Internet of things”. The worm is capable of attacking a range of small, Internet-enabled devices in addition to traditional computers. Variants exist for chip architectures usually found in devices such as home routers, set-top boxes and security cameras. Although no attacks against these devices have been found in the wild, many users may not realize they are at risk, since they are unaware they own devices that run Linux.

The worm, Linux.Darlloz, exploits a PHP vulnerability to propagate itself in the wild. The worm utilizes the PHP ‘php-cgi’ Information Disclosure Vulnerability (CVE-2012-1823), which is an old vulnerability that was patched in May 2012. The attacker recently created the worm based on the Proof of Concept (PoC) code released in late Oct 2013.

Upon execution, the worm generates IP addresses randomly, accesses a specific path on the machine with well-known ID and passwords, and sends HTTP POST requests, which exploit the vulnerability. If the target is unpatched, it downloads the worm from a malicious server and starts searching for its next target. Currently, the worm seems to infect only Intel x86 systems, because the downloaded URL in the exploit code is hard-coded to the ELF binary for Intel architectures.

Linux is the best known open source operating system and has been ported to various architectures. Linux not only runs on Intel-based computers, but also on small devices with different CPUs, such as home routers, set-top boxes, security cameras, and even industrial control systems. Some of these devices provide a Web-based user interface for settings or monitoring, such as Apache Web servers and PHP servers.

We have also verified that the attacker already hosts some variants for other architectures including ARM, PPC, MIPS and MIPSEL on the same server.

Figure: The “e_machine” value in ELF header indicates the worm is for ARM architecture.

These architectures are mostly used in the kinds of devices described above. The attacker is apparently trying to maximize the infection opportunity by expanding coverage to any devices running on Linux. However, we have not confirmed attacks against non-PC devices yet.

Vendors of devices with hidden operating systems and software, who have configured their products without asking users, have complicated matters. Many users may not be aware that they are using vulnerable devices in their homes or offices. Another issue we could face is that even if users notice vulnerable devices, no updates have been provided to some products by the vendor, because of outdated technology or hardware limitations, such as not having enough memory or a CPU that is too slow to support new versions of the software.

To protect from infection by the worm, Symantec recommends users take the following steps:

1. Verify all devices connected to the network
2. Update their software to the latest version
3. Update their security software when it is made available on their devices
4. Make device passwords stronger
5. Block incoming HTTP POST requests to the following paths at the gateway or on each device if not required:

• -/cgi-bin/php
• -/cgi-bin/php5
• -/cgi-bin/php-cgi
• -/cgi-bin/php.cgi
• -/cgi-bin/php4