Pesquisadores detectam falha grave de segurança que afeta roteadores da Linksys

Por Redação | 18 de Fevereiro de 2014 às 09h45
photo_camera Divulgação

Usuários de roteadores da Linksys precisam ficar atentos. Pesquisadores do SANS Institute Internet Storm Center (ISC) identificaram uma nova vulnerabilidade "auto-replicável" que ataca os dispositivos Wi-Fi fabricados pela empresa. A falha, batizada de "TheMoon", foi confirmada nesta segunda-feira (17) pela Linksys, que listou os aparelhos que foram atingidos pela ameaça.

O erro foi descoberto na semana passada por um administrador de um provedor norte-americano que entrou em contato com especialistas do SANS Institut. No último domingo (16), a falha foi reforçada por um usuário do Reddit, que identificou quatro scrips CGI que ele acreditava serem vulneráveis - um outro internauta, inclusive, conhecido pelo codinome Rew, confirmou que pelo menos dois desses scripts estavam suscetíveis a possíveis ataques e divulgou um exploit comprovando a existência desses scripts.

De acordo com informações do ArsTechnica, o vírus explora uma falha de segurança no roteador e age da seguinte maneira: depois de infectar um dispositivo, o malware procura na internet por outros aparelhos potencialmente vulneráveis para se propagar. Uma vez invadido o eletrônico, o vírus então injeta um script que dissemina o mesmo procedimento de se espalhar por outros dispositivos e contaminar ainda mais aparelhos. Basicamente, a ideia dos crackers é criar uma botnet com os roteadores.

Ainda segundo o ArsTechnica, a brecha que possibilita o ataque está na forma que o roteador se comunica com o protocolo de administração de redes domésticas (HNAP, na sigla em inglês). Esse protocolo permite que empresas ou provedores de internet controlem remotamente roteadores em casas e escritórios de clientes. O malware usa o HNAP para encontrar outros roteadores vulneráveis da Linksys e se espalha através de uma falha no script CGI, independente de senhas.

No exploit publicado por Rew, aparecem os seguintes modelos de roteadores: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N e WRT150N. A lista, no entanto, pode não ser precisa ou estar incompleta.

A Linksys recomenda que as empresas que fazem uso dos roteadores desabilitem o recurso de gerenciamento remoto e reiniciem os aparelhos para remover o malware, já que o worm não é persistente contra reboots. Além disso, os usuários podem descobrir se o vírus está infectando os dispositivos checando a atividade de saída nas portas 80 ou 8080 - o principal indicativo é se a internet estiver muito lenta. Feito esse procedimento, o internauta pode reiniciar o roteador para remover o malware.

Vale lembrar que, no Brasil, as portas 80 e 8080 geralmente são fechadas em conexões doméstica, impedindo que o ataque contra os roteadores fucione. Em todo o caso, a Lynksys disse que sua equipe está trabalhando em uma correção de firmware que será liberada nas próximas semanas.

Para mais informações, a companhia disponibilizou uma página com instruções para instalar a última versão do firmware e desabilitar o gerenciamento remoto nos roteadores - ao que tudo indica, a brecha de segurança está presente em edições anteriores a versão 2.0.06. Você pode acessá-la neste link aqui.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.