Pomimo tego, że Linux nie jest tak popularnym systemem operacyjnym na komputerach osobistych jak Windows, to na serwerach i innych urządzeniach wbudowany dzierży palmę pierwszeństwa nieprzerwanie od kilku lat. Cyberprzestępcy wolą w takim razie włożyć większy wysiłek i zaatakować serwer, czy też inne urządzenie posiadające w swoim wnętrzu system wbudowany.
Jak donosi Symantec, w sieci krąży robak o nazwie Linux.Darlloz, który pierwotnie jest nastawiony na atakowanie serwerów oraz routerów działających pod kontrolą Linuksa. Oprogramowanie losowo generuje adresy IP, następnie w razie pozytywnego połączenia próbuje odgadnąć login i hasło przy użyciu najpopularniejszych kombinacji i jeżeli autoryzacja zakończy się sukcesem, wysyła żądanie HTTP POST do pobrania złośliwego kodu przy pomocy luki w PHP, która została załatana… nad półtora roku temu. Robak niestety nie wyginął, lecz znalazł sobie inny obiekt zainteresowań.
Istnieje cała masa urządzeń, których oprogramowanie wbudowane nie jest aktualizowane praktycznie przez cały cykl życia. Dyski sieciowe, routery, kamery przemysłowe – czy ktoś w tych urządzeniach dba o aktualizacje? Jeżeli już, to bardzo niewielka grupa producentów oraz użytkowników. Stare oprogramowanie może posiadać pełno luk, które z powodzeniem Linux.Darlloz byłby w stanie wykorzystać. Jedyna przeszkoda to różnorodność architektur stosowanych w tego typu urządzeniach, jednak twórcy robaka poradzili sobie i z tym problemem, implementując dosyć pokaźną bazę obsługiwanych architektur.
Zaktualizować oprogramowanie w przykładowej kamerze przemysłowej jest naprawdę ciężko, o ile aktualizacja w ogóle istnieje. Jak się bronić? Przede wszystkim należy zmienić login oraz hasło i powyłączać wszystkie funkcje, z których nie korzystamy. Szczególnie należy uważać na interpreter PHP, jeżeli z takiego elementu korzysta nasze urządzenie.
Źródło: Symantec