QR code per la pagina originale

Linux.Darlloz, il worm per l’Internet delle cose

Symantec ha scoperto un malware che sfrutta una vulnerabilità PHP, il linguaggio usato per l'interfaccia di amministrazione dei dispositivi embedded.

,

Symantec ha scoperto un nuovo worm in grado di infettare i computer che eseguono Linux e un ampio numero di dispositivi che possono essere utilizzati per realizzare la cosiddetta Internet delle cose. Linux.Darlloz, questo è il suo nome, sfrutta una vulnerabilità presente nel codice PHP utilizzato per creare le interfacce di amministrazione di router, set-top box, videocamere di sicurezze e anche sistemi di controllo industriali.

La versione del worm attualmente in circolazione attacca esclusivamente i sistemi x86, dato che il codice binario è nel formato ELF (Executable and Linkable Format) per le architetture Intel. Tuttavia, sono state già sviluppate diverse varianti per altre architetture, tra cui ARM, MIPS, PPC e MIPSEL, ovvero quelle usate nei dispositivi embedded, come router, set-top box e videocamere di sicurezza. I malintenzionati potrebbero quindi aumentare il numero dei bersagli, ma finora non sono stati rilevati attacchi contro dispositivi non-PC.

Sebbene il nome scelto da Symantec faccia riferimento al noto sistema operativo, in realtà Linux.Darlloz sfrutta una falla del componente php-cgi. Quasi tutti i dispositivi embedded eseguono Linux e integrano un web server scritto in PHP che permette la gestione dei parametri di configurazione. La vulnerabilità è stata risolta quasi 18 mesi fa con le versioni 5.4.3 e 5.3.13 di PHP, ma i produttori non hanno rilasciato nessun aggiornamento per i modelli più vecchi. Molti utenti, ad esempio, possiedono ancora router di 4 o 5 ani fa, per i quali il supporto è stato abbandonato. Tra l’altro, la procedura di update non è così semplice come quella di un software tradizionale.

Fortunatamente, l’attacco va a segno solo se i malintenzionati conoscono i dati di accesso predefiniti. È quindi consigliabile cambiare la password e, se disponibile, installare il firmware più recente.

Fonte: Symantec • Via: Computer World • Immagine: Router, via Shutterstock • Notizie su: