Linux.Darlloz, il worm per l'Internet delle cose

Symantec ha scoperto un nuovo worm in grado di infettare i computer che eseguono Linux e un ampio numero di dispositivi che possono essere utilizzati per realizzare la cosiddetta Internet delle cose. Linux.Darlloz, questo è il suo nome, sfrutta una vulnerabilità presente nel codice PHP utilizzato per creare le interfacce di amministrazione di router, set-top box, videocamere di sicurezze e anche sistemi di controllo industriali.

La versione del worm attualmente in circolazione attacca esclusivamente i sistemi x86, dato che il codice binario è nel formato ELF (Executable and Linkable Format) per le architetture Intel. Tuttavia, sono state già sviluppate diverse varianti per altre architetture, tra cui ARM, MIPS, PPC e MIPSEL, ovvero quelle usate nei dispositivi embedded, come router, set-top box e videocamere di sicurezza. I malintenzionati potrebbero quindi aumentare il numero dei bersagli, ma finora non sono stati rilevati attacchi contro dispositivi non-PC.

Sebbene il nome scelto da Symantec faccia riferimento al noto sistema operativo, in realtà Linux.Darlloz sfrutta una falla del componente php-cgi. Quasi tutti i dispositivi embedded eseguono Linux e integrano un web server scritto in PHP che permette la gestione dei parametri di configurazione. La vulnerabilità è stata risolta quasi 18 mesi fa con le versioni 5.4.3 e 5.3.13 di PHP, ma i produttori non hanno rilasciato nessun aggiornamento per i modelli più vecchi. Molti utenti, ad esempio, possiedono ancora router di 4 o 5 ani fa, per i quali il supporto è stato abbandonato. Tra l’altro, la procedura di update non è così semplice come quella di un software tradizionale.

Fortunatamente, l’attacco va a segno solo se i malintenzionati conoscono i dati di accesso predefiniti. È quindi consigliabile cambiare la password e, se disponibile, installare il firmware più recente.