Internet der Dinge

Neuer Linux-Wurm infiziert IPv6-Geräte

28.11.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Router, Set-Top-Boxen, Überwachungskameras: Sicherheitsforscher haben mit Linux.Darlloz einen Wurm entdeckt, der alle IP-fähigen Devices mit Intel-Prozessor befallen kann.

Weil er sich eben aber auf Intel-x86-Systeme beschränkt, stuft Sicherheits-Anbieter Symantec ihn in einem Blogpost als "Low-Level-Threat" ein. Mit einer kleinen Modifikation ihres Codes sei es jedoch möglich, dass sich die Malware in bereits verfügbare, ausführ- und verlinkbare ELF-Dateien einklinke. Dadurch seien weitaus mehr IPv6-Geräte potenziell betroffen - nämlich die, denen ARM-, PowerPC-, MIPS- und MIPSEL-Architekturen zugrunde liegen, so Symantec-Sicherheitsforscher Kauro Hayashi. Entsprechende Derivate des Schädlings seien bereits auf dem Host-Server entdeckt worden.

Der Code von Linux.Darlloz gibt die Info preis, dass der Wurm für ARM-Architekturen bestimmt ist.
Der Code von Linux.Darlloz gibt die Info preis, dass der Wurm für ARM-Architekturen bestimmt ist.
Foto: Symantec

"Einmal ausgeführt, erstellt der Wurm zufällige IP-Adressen, greift auf einen bestimmten Pfad innerhalb des Systems zu, dessen Geräte-ID und Passwörter bekannt sind, und sendet HTTP-POST-Anfragen, die die Schwachstelle ausnutzen", so Hayashi. Sobald er ein weiteres ungepatchtes Gerät entdecke, werde dieses ebenfalls infiziert. Anwendern wird empfohlen, alle IP-fähigen Geräte patchmäßig auf dem Laufenden zu halten und in Zukunft nur solche zu kaufen, die sich leicht updaten lassen. Zudem sollten voreingestellte Standard-Passwörter geändert sowie alle hereinkommenden POST-Anfragen und andere HTTP-Kommandos grundsätzlich geblockt werden.