มีเรื่องมาเตือนผู้ใช้เราท์เตอร์ Lynksys ค่ะ เนื่องจากล่าสุดมีรายงานว่า ผู้เชี่ยวชาญจากสถาบันเทคโนโลยี SANS ระบุเราทเตอร์ไร้สายของผู้ผลิตรายนี้ กำลังตกเป็นเป้าของมัลแวร์”หนอนไวรัส”ที่สามารถทำซ้ำตัวเอง เพื่อแพร่กระจายตัวเองได้ค่ะ – -”

lynksis-router-the-moon-worm-malware

Johannes B. Ullrich ผู้เชี่ยวชาญจาก SANS Technology Institute ได้เปิดเผยว่า เราทเตอร์จาก Lynksys กำลังตกเป็นเป้าในการโจมตีของมัลแวร์ที่มีคุณสมบัติการทำงานแบบหนอนไวรัส ซึ่งสามารถทำซ้ำตัวเองด้วยชุดคำสั่งที่สามารถทะลุทะลวงผ่านช่องโหว่ต่างๆ ที่อยู่ในเฟิร์มแวร์ของเราท์เตอร์ได้ นั่นหมายความว่า เราท์เตอร์ของ Lyksys รุ่นที่มีช่องโหว่การทำงานดังกล่าว จะเปิดโอกาสให้มัลแวร์สามารถแพร่กระจายตัวเองจากเราท์เตอร์เครื่องหนึ่งไปยังเราท์เตอร์อีกเครื่องหนึ่งได้ การทำงานของมันจะเจาะเข้าไปที่เฟิร์มแวร์ (ชุดคำสั่งโปรแกรมการทำงานในชิป) จากนั้นก็อปปี้ตัวเอง เพื่อชอนไช (ก็หนอนนี่คะ) ไปยังเราท์เตอร์เครื่องอื่นๆ ที่อยู่ในเครือข่าย สำหรับหนอนไวรัสตัวนี้มีชื่อน่ารักๆ ว่า “The Moon” ค่ะ

lynksis-router-the-moon-worm-malware-2

ผู้เชี่ยวชาญได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการทำงานของมัลแวร์อีกด้วยค่ะว่า ตอนนี้ The Moon ได้สแกนพบช่องโหว่ของการทำงานในเราท์เตอร์ของ Lynksys  และได้แพร่กระจายตัวเองออกไปยังเราท์เตอร์ของผู้ผลิตรายนี้ไปมากกว่า 1,000 ตัวแล้ว โดยรุ่นที่น่าจะถูกโจมตีไปเรียบร้อยแล้วได้แก่ Lynksys E1000, E1200 และ E2400 สำหรับช่องทางในการแพร่กระจาของ The Moon จะเริ่มต้นจากการเรียกผ่านโพรโตคอล HNAP (Home Network Administration Protocol) ซึ่งสามารถเข้าจัดการ ปรับแต่งการทำงาน ตลอดจนระบุอุปกรณ์เน็ตเวิร์กได้ เมื่อมัลแวร์พบเฟิร์มแวร์ หรือเราท์เตอร์รุ่นที่มันรู้จัก และพบว่า มันมีช่องโหว่ของการทำงาน มัลแวร์จะส่งสคริปท์ CGI เพื่อเข้าถึง และรันคำสั่งการทำงานตามที่มันต้องการบนเราท์เตอร์ ทั้งนี้ ทาง Lynksys ยืนยันแล้วว่า มันมีช่องโหว่ของระบบรักษาความปลอดภัยในการพัฒนา HNAP1 จริง และชุดคำสั่งในการใช้ช่องโหว่ดังกล่าวมีการเปิดเผยบนออนไลน์แล้วด้วย อย่างไรก็ตาม ทางบริษัทกำลังวิเคราะห์การทำงานที่แท้จริงของหนอนตัวนี้ ซึ่งในเบื้องต้นพบว่า มันสามารถแพร่กระจายจากเราท์เตอร์ตัวหนึ่งไปยังเราท์เตอร์ตัวอื่นๆ ได้ โดยยังไม่ได้สร้างความเสียหายใดๆ แต่ก็ไม่รู้สินะว่า ตกลงแล้วมันจะมีวาระซ่อนเร้นอะไรอยู่ หรือเปล่า เอาเป็นว่า ถ้าเพื่อนๆ คนใดที่ใช้เราท์เตอร์ Lynksys รุ่นที่มีการเปิดเผยว่า ถูกโจมตีแล้ว คำแนะนำในเบื้องต้นก็คือ ให้คุณปิดการทำงาน (disable) ของ remote administration หรือจำกัดสิทธิ์ของการใช้ remote admin ซึ่งจะอนุญาตให้เฉพาะ IP address ที่ระบุเท่านั้นที่สามารถเข้าถึงเราท์เตอร์ของเราจากอินเทอร์เน็ตได้ – -”

via the hacker news