Ein Wurm, der TheMoon genannt wird, hat Linksys-Router befallen. Ein Konzept-Exploit für genau die Schwachstelle, die der Wurm nutzt, wurde nun veröffentlicht, außerdem auch eine Liste mit eventuell gefährdeten Gerätemodellen. Diese fällt länger aus, als ursprünglich erwartet.

Sicherheitsforscher des SANS-Instituts identifizierten eine sich selbst vervielfältigende Schadsoftware, die eine Lücke zum Umgehen der Authentifikation bei Linksys-Routern nutzt. Im ursprünglichen Bericht wurde die Sicherheitslücke in einem CGI-Skript verortet, welches Teil der Verwaltungsoberfläche verschiedener Linksys-Router-Modelle ist.

Ein Reddit-Nutzer fand daraufhin vier CGI-Skripte, die eventuell angreifbar sind. Ein Exploit-Entwickler stellte dann fest, dass zwei davon tatsächlich verwundbar waren, und entwickelte das Exploit-Konzept dazu.

„Ich hatte gehofft, dass dies nicht öffentlich wird, bis die Firma eine Lösung entwickelt hat. Scheinbar ist das nicht gelungen“, so Rew, der Exploit-Entwickler.

Eine Liste der gefährdeten Router-Modelle enthält die folgenden: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N und WRT150N. Rew weist allerdings darauf hin, dass diese Liste nicht vollständig oder korrekt sein muss.

Linksys-Eigentümer Belkin bestätigte, dass einige WLAN-Router ebenfalls betroffen sind, nannte jedoch nicht die konkreten Namen.

„Linksys ist sich der Existenz von ‚TheMoon‘ bewusst, welche ältere Router-Modelle angreift“,

so Karen Sohl. Sie ist Global Communications Manager bei Belkin.

Eine empfohlene Sicherheitsmaßnahme besteht darin, den Remote Management Access auszuschalten und die Router neu zu starten. Dies entfernt den Wurm.

Artikel von computerworld.com, 17.02.2014: There’s now an exploit for ‚TheMoon‘ worm targeting Linksys routers
Artikel von theregister.co.uk, 17.02.2014: Malware-flinging Linksys vulnerability confirmed as a HNAP1 bug