В воскресенье появилась информация об уязвимости в маршрутизаторах Linksys, с помощью которой распространяется червь под названием TheMoon. Менее двух суток понадобилось для создания концептуального эксплойта, который использует названную 0day-уязвимость, но работает только в пределах локальной сети.
Автор эксплойта под ником Rew говорит, что не хотел публиковать его до того, как компания-производитель выпустит обновление с исправленной прошивкой, но джин уже выскочил из бутылки. На форумах Reddit нектовыложил четыре CGI-скрипта маршрутизаторов с описанием метода взлома. Так что уязвимостью может воспользоваться кто угодно.
Упомянутые CGI-скрипты являются частью администраторского интерфейса многочисленных моделей маршрутизаторов Linksys серии E.
Кроме исходного кода на PHP, автор опубликовал обновленный список моделей маршрутизаторов, на которых срабатывает эксплойт: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N и WRT150N. Правда, Rew пишет, что список может быть неточным или неполным.
Владелец торговой марки Linksys, компания Belkin, признала наличие уязвимости в «некоторых моделях маршрутизаторов», но не уточнила, в каких именно. Она добавила, что исполнение кода возможно только в том случае, если в настройках маршрутизатора активирована функция Remote Management Access.
Для удаления зловреда или предотвращения заражения следует отключить эту функцию и перезагрузить маршрутизатор, сказано в рекомендациях на сайте Linksys. Перед этим нужно убедиться, что на маршрутизаторе установлена последняя версия прошивки и обновить ее в случае необходимости.