Компания Symantec сообщила о появлении нового сетевого червя Linux.Darlloz, нацеленного на поражение домашних маршрутизаторов, точек доступа, телеприставок, камер слежения и других потребительских устройств на базе Linux. Червь проникает в систему через эксплуатацию уязвимости в реализации CGI-режима запуска PHP, исправленной в мае прошлого года, но до сих пор присутствующей во многих прошивках.

После проникновения в систему червь случайным образом выбирает IP-адреса и выполняет проверку возможности совершения атаки на выбранную систему. В первой фазе атаки червь пытается получить доступ к web-интерфейсу путём подбора типовых логинов и паролей. В случае удачи проверяется наличие установки php в CGI-режиме и предпринимается попытка эксплуатации уязвимости (проверяются наличие скриптов /cgi-bin/php, /cgi-bin/php5, /cgi-bin/php-cgi, /cgi-bin/php.cgi и /cgi-bin/php4). Если атака прошла успешно на взломанную систему из внешнего ресурса загружается код червя и начинается поиск новой жертвы.

В настоящее время обнаружен лишь прототип червя, атаки на базе которого пока не зафиксированы в диком виде или имеют единичный характер. Выявленный экземпляр червя поражает только системы на базе архитектуры x86 (червь распространяется в форме исполняемого файла), но имеются свидетельства о наличии сборок червя для архитектур ARM, PPC, MIPS и MIPSEL.

Тем временем, в маршрутизаторах D-Link выявлен очередной бэкдор, позволяющий получить доступ к устройству через telnet, используя прописанные в прошивке логин и пароль. Проблема подтверждена в устройстве D-Link DAP 1522, но судя по всему затрагивает и другие модели.