נתבי Lynksys חשופים לנוזקת הירח

פרופ' יוהאנס אולריך, ממכון SANS, מפרסם דוח מצב לגבי תולעת המתפשטת בין נתבי Lynksys. התולעת נמצאת במעקב כבר תקופה, ועדיין לא קיימת רשימה מלאה של נתבים החשופים לאיום. אך ידוע כי בהתאם לסוג גרסת המערכת, המודלים הבאים חשופים:E4200,  E3200,  E3000, E2500,  E2100L, E2000, E1550, E1500, E1200, E1000, E900

יוהאנס מסביר בפוסט שפרסם כי התולעת מתחברת קודם כל לפורט 8080 ונעזרת ב- SSL על פי הצורך, כדי לבקש URL "/HNAP1/". בתגובה התולעת תקבל רשימת XML של מאפייני הנתב וגרסת התוווכה. לאחר מכן התולעת תשלח כלי פריצה המנצל פירצה בקוד CGI המופעל בנתבים אלה. הבקשה אינה דורשת אימות. התולעת שולחת הרשאות גישה באינן נבדקות על ידי הקוד. בהמשך, יישלח קוד מעטפת שיבקש את התולעת עצמה. התולעת היא בגודל של כ- 2 מגה.

ברגע שהוקד מופעל, הנתב הפגוע יתחיל לסרוק אחר קורבנות נוספים. התולעת כולל רשימה של כ- 670 רשתות אחרות, שכולן קשורות למודמים של כבלים או DSL השייכים לספקי תקשורת במדינות שונות. התולעת גם תתחיל לשדר את התולעת בקצב נמוך, על גבי פורט רנדומלי, כדי להגיע לקורבנות חדשים. הפעילות הזו מתרחשת לזמן קצר בלבד, ובפורט אחר עבור כל מטרה.

לפי אולריך, עדיין לא ברור אם קיימים שרתי פיקוד ושליטה, אבל נראה כי התולעת כוללת המרמז על ערוץ כזה. התולעת גם כוללת תמונות הקשורות לסרט "הירח" אשר הביאו לכינוי של התמונה בשם זה.