La semaine dernière, des chercheurs en sécurité de l'Internet Storm Center du SANS Institute ont identifié un ver informatique baptisé The Moon qui exploite une vulnérabilité de contournement de l'authentification pour infecter des routeurs Linksys (ancienne division de Cisco rachetée en 2013 par Belkin).
Linksys a confirmé l'existence du malware en précisant qu'il se répand sur d'anciens routeurs E-series ainsi que des points d'accès et anciens modèles de routeurs sans fil Wireless-N. Linksys indique qu'une mise à jour firmware sera mise en ligne dans les prochaines semaines pour les produits affectés.
The Moon contourne l'authentification sur le routeur via une connexion sans les identifiants administrateur. Une fois infecté, le routeur commence à inonder le réseau avec du trafic sortant sur les ports 80 et 8080. Une conséquence peut être un ralentissement de la connectivité Internet sur tous les appareils du réseau, explique Linksys.
L'exploit utilisé par The Moon est uniquement fonctionnel lorsque la fonctionnalité de gestion d'accès à distance (Remote Management Access) est activée. Par défaut, celle-ci ne l'est pas. Linksys détaille les étapes à suivre pour une désactivation. Une fois cette fonctionnalité désactivée, le redémarrage du routeur nettoie le cache et supprime le malware si le routeur a été infecté.
Parmi les modèles susceptibles d'être infectés, la liste suivante a été établie par un utilisateur qui a publié un code d'exploit preuve de concept et s'est appuyé sur des chaînes de caractères dans le fichier binaire de The Moon : E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N, WRT150N.
Le ver a été baptisé The Moon parce qu'il contient le logo d'une société fictive du film de science-fiction britannique Moon sorti en 2009. Il commence par envoyer une requête HNAP (Home Network Administration Protocol) pour identifier un modèle vulnérable et le cas échéant, une autre requête vers un script CGI - qui contient la vulnérabilité - pour l'exécution de commandes locales sur l'appareil.
La vulnérabilité est alors exploitée pour télécharger et exécuter un fichier binaire. Il recherche de nouveaux appareils à infecter et ouvre un serveur HTTP pour livrer une copie de lui-même. Le mystère est que pour le moment, le but de The Moon semble uniquement de se répandre mais des indices suggèrent l'existence d'un serveur de commande et contrôle qui pourrait ultérieurement servir à la création d'un botnet contrôlé par des attaquants.
