Al parecer, según Symantec, el malware se propaga a través de una vulnerabilidad en php-cgi, un componente que permite a PHP funcionar en la configuración de Common Gateway Interface (CGI).
La vulnerabilidad se rastrea como CVE-2012-1823 y ya fueron parcheadas en las versiones PHP 5.4.3 y PHP 5.3.13, en mayo de 2012.
Pero el nuevo gusano, bautizado como Linux.Darlloz,
tiene su base en la prueba de concepto de código publicada en octubre pasado, según se ha revelado esta semana. Su funcionamiento incluye la generación de direcciones IP al azar, el acceso a una ruta concreta de la máquina con ID y contraseña conocidas, y envía solicitudes HTTP POST para rentabilizar este fallo. Si el sistema atacado no se parchea, descarga el gusano desde un servidor infectado que comienza la búsqueda de su siguiente objetivo.
La única variante encontrada hasta ahora afecta a sistemas x86, ya que el código infectado que se descarga desde el servidor del atacante es de formato ejecutable y enlazable (ELF).
Sin embargo, no se descarta que también puedan existir versiones para otras arquitecturas, incluyendo ARM, PPC, MIPS y mipsel.
Estas tecnologías se integran en dispositivos embebidos, como routers domésticos, cámaras IP, set-top boxes, y muchos otros. La intención que parece subyacer, es que se intenta un ataque de difusión masiva de todos los dispositivos que ejecuten Linux, según expertos del mercado.
El firmware de muchos de estos sistemas integrados se basa en alguna versión de Linux e incluye un servidor web con PHP para la gestión de la interfaz web. Este tipo de dispositivos resulta más fácil de poner en peligro que los PCs con Linux, ya que no reciben actualizaciones con mucha frecuencia.
De hecho, introducir parches en dispositivos embebidos nunca ha sido una tarea fácil. Muchos proveedores no emiten actualizaciones regulares y cuando lo hacen, no informan convenientemente al usuario de los problemas de seguridad que se resuelven con cada nueva versión. Además, la instalación de una actualización de dispositivos embebidos requiere más trabajo y conocimiento técnico que la actualización de software corriente, instalado en un equipo. Los usuarios tienen que saber dónde se publican los cambios, descargarlos manualmente y luego subirlos a sus dispositivos, a través de una interfaz de administración basada en la Web.
“Lo que está claro es que la mayoría de los usuarios no saben que están utilizando dispositivos en sus casas que son vulnerables”, advierten los investigadores de Symantec.
Como primera medida para curarse en salud, los expertos recomiendan revisar la caducidad del firmware y actualizarlo si es preciso, además de reforzar las contraseñas de administración, verificando el bloqueo de cualquier petición HTTP POST.
Visto en pcworld.es