Исследователь из компании Symantec обнаружил червя, который поражает встроенные Linux-системы, то есть устройства типа маршрутизаторов и телевизионных приставок. Подобные приборы часто остаются без должного внимания владельцев: те не проверяют свежие версии прошивок, на устанавливают патчи. Более того, многие устройства снимаются с сервисного обслуживания: производитель не заботится о том, чтобы устранить найденные уязвимости. В результате, маршрутизатор или приставка, всеми забытая, работает годами до тех пор, пока не сломается.
Разработчики Linux.Darlloz использовали особенную беззащитность таких устройств. Для своего распространения червь применяет уязвимость php-cgi (CVE-2012-1823), патч для которой вышел в мае 2012 года. Червь создан на основе концептуального кода, выложенного в свободный доступ специалистами по информационной безопасности в октябре 2013 года.
При запуске на исполнение программа случайным образом сканирует диапазон IP-адресов, пробует доступ по стандартным идентификаторам/паролям и отправляет запросы HTTP POST для эксплуатации уязвимости. Если на устройстве не установлен патч, то скачивается тело червя с удаленного сервера — и процесс повторяется.
В данный момент программа, судя по всему, поражает только системы x86, но специалисты Symantec нашли косвенные доказательства, что уже существуют варианты и для других платформ, в том числе ARM.
Теоретически, после установки на маршрутизатор, принтер или приставку вредоносная программа может эмулировать процесс обновления, в реальности не осуществляя его. Таким образом, обычному пользователю будет очень сложно понять, что устройство уже не находится под его контролем.
