چاند کے کیڑے نے بڑے لنکس ہوم ہوم روٹرز کو نشانہ بنایا ہے

لنکسس ہوم اور چھوٹے کاروباری روٹرز میں ایک خود ساختہ کیڑا ایک توثیقی بائی پاس خطرے کا استحصال کررہا ہے۔ اگر آپ کے پاس ای سیریز کے ایک روٹر ہیں تو ، آپ کو خطرہ ہے۔

اس کا کوڈ میں قمری حوالوں کی وجہ سے "چاند" کہلانے والا کیڑا اس وقت دیگر کمزور روٹرس کی اسکیننگ اور اپنی کاپیاں بنانے سے آگے زیادہ کچھ نہیں کررہا ہے ، محققین نے گذشتہ ہفتے ایس این ایس انسٹی ٹیوٹ کے انٹرنیٹ طوفان سینٹر بلاگ پر لکھا۔ ابھی تک یہ واضح نہیں ہے کہ پے لوڈ کیا ہے یا آیا اسے کمانڈ اور کنٹرول سرور سے کمانڈ مل رہے ہیں۔

ایس این ایس کے چیف ٹکنالوجی آفیسر جوہانس الریچ نے ایک بلاگ پوسٹ میں لکھا ، "اس مرحلے پر ، ہم ایک کیڑے سے آگاہ ہیں جو لینکسی راؤٹرز کے مختلف ماڈلز میں پھیل رہا ہے۔" "ہمارے پاس راؤٹرز کی قطعی فہرست نہیں ہے جو کمزور ہیں ، لیکن درج ذیل روٹرز فرم ویئر ورژن کے لحاظ سے کمزور ہوسکتے ہیں: E4200 ، E3200 ، E3000 ، E2500 ، E2100L ، E2000 ، E1550 ، E1500 ، E1200 ، E1000 ، E900۔" ایسی اطلاعات ہیں کہ E300 ، WAG320N ، WAP300N ، WES610N ، WAP610N ، WRT610N ، WRT400N ، WRT600N ، WRT320N ، WRT160N اور WRT150N روٹرز بھی غیر محفوظ ہیں۔

"لنکسس چاند نامی مالویئر سے واقف ہے جس نے منتخب کردہ بڑے لنکس ای ای سیریز راؤٹرز کو متاثر کیا ہے اور وائرلیس (ن) پرانے رسائی والے مقامات اور روٹرز کو منتخب کیا ہے ،" بیلکن ، کمپنی ، جس نے پچھلے سال سسکو سے لینکس برانڈ حاصل کیا تھا ، نے ایک بلاگ میں لکھا تھا۔ پوسٹ ایک فرم ویئر ٹھیک کرنے کا منصوبہ بنایا گیا ہے ، لیکن اس وقت کوئی خاص ٹائم ٹیبل دستیاب نہیں ہے۔

چاند کے حملے

ایک بار کمزور روٹر پر جانے کے بعد ، چاند کا کیڑا 8080 پورٹ سے منسلک ہوتا ہے اور سمجھوتہ والے راؤٹر کے میک اور فرم ویئر کی شناخت کے لئے ہوم نیٹ ورک ایڈمنسٹریشن پروٹوکول (HNAP) کا استعمال کرتا ہے۔ اس کے بعد یہ بغیر کسی تصدیق کے روٹر تک رسائی حاصل کرنے اور دیگر کمزور خانوں کو اسکین کرنے کے لئے سی جی آئی اسکرپٹ کا استحصال کرتا ہے۔ سانس کا تخمینہ ہے کہ 1000 سے زائد لینکسی روٹرز پہلے ہی انفکشن ہوچکے ہیں۔

سی جی آئی اسکرپٹ میں کمزوری کو نشانہ بنانے کا ایک ثبوت کا تصور پہلے ہی شائع ہوچکا ہے۔

الریچ نے کہا ، "تقریبا 6 670 مختلف آئی پی رینجز ہیں جو یہ دوسرے روٹرز کے لئے اسکین کرتی ہیں۔ وہ سب کے سب مختلف کیبل موڈیم اور ڈی ایس ایل آئی ایس پیز سے تعلق رکھتے ہیں۔ ان کو کسی حد تک دنیا میں تقسیم کیا گیا ہے۔"

اگر آپ کو پورٹ 80 اور 8080 میں بھاری آؤٹ باؤنڈ اسکیننگ اور 1024 سے کم متفرق بندرگاہوں پر آؤٹ باؤنڈ کنکشن نظر آئے تو ، آپ کو پہلے ہی انفکشن ہوسکتا ہے۔ الریچ نے کہا ، اگر آپ گونج کرتے ہیں "GET / HNAP1 / HTTP / 1.1 \ r test n ہوسٹ: ٹیسٹ \ r \ n \ r c n" 'NC روٹرپ 8080 اور ایک XML HNAP آؤٹ پٹ ملے تو ممکن ہے کہ آپ کے پاس ایک کمزور روٹر ہو۔

چاند کے خلاف دفاع

اگر آپ کے پاس ایک کمزور روٹر ہے تو ، آپ کو لینے کے لئے کچھ قدم ہیں۔ اولرچ نے کہا کہ سب سے پہلے ، جو روٹر ریموٹ ایڈمنسٹریشن کے لئے تشکیل نہیں دیئے جاتے ہیں ان کو بے نقاب نہیں کیا جاتا ہے۔ لہذا اگر آپ کو دور دراز کی انتظامیہ کی ضرورت نہیں ہے تو ، ایڈمنسٹریٹر انٹرفیس سے ریموٹ مینجمنٹ رسائی کو بند کردیں۔

اگر آپ کو دور دراز کی انتظامیہ کی ضرورت ہو تو ، IP ایڈریس کے ذریعہ انتظامی انٹرفیس تک رسائی پر پابندی لگائیں تاکہ کیڑا روٹر تک نہ پہنچ سکے۔ آپ ایڈمنسٹریشن سیکیورٹی ٹیب کے تحت فلٹر گمنام انٹرنیٹ درخواستوں کو بھی اہل کرسکتے ہیں۔ الریچ نے بتایا کہ چونکہ کیڑا بندرگاہ 80 اور 8080 میں پھیلتا ہے ، لہذا منتظم انٹرفیس کے لئے بندرگاہ تبدیل کرنے سے کیڑے کے لئے روٹر تلاش کرنا بھی دشوار ہوجائے گا۔

ہوم روٹرز مقبول حملے کا نشانہ ہوتے ہیں ، کیونکہ وہ عام طور پر بڑے ماڈل ہوتے ہیں اور صارف عام طور پر فرم ویئر کی تازہ کاریوں میں سب سے اوپر نہیں رہتے ہیں۔ مثال کے طور پر ، پولش کمپیوٹر ایمرجنسی رسپانس ٹیم (سی ای آر ٹی پولسکا) کی جانب سے رواں ماہ کے آغاز میں ایک انتباہ کے مطابق ، سائبر کرائمینوں نے حال ہی میں ہوم روٹرز میں ہیک کیا ہے اور آن لائن بینکنگ سائٹوں کو بھیجی گئی معلومات کو روکنے کے لئے ڈی این ایس کی ترتیب کو تبدیل کردیا ہے۔

بیلکن کسی دوسرے مسئلے کو جوڑنے کے لئے جدید ترین فرم ویئر کو اپ ڈیٹ کرنے کا مشورہ بھی دیتا ہے جو بغیر دستہ ہو سکتا ہے۔