Egy The Moon, azaz Hold nevű féreg terjed bizonyos típusú Linksys routereken, hívta fel a figyelmet Johannes B. Ullrich biztonsági szakértő az InfoSec fórumon írt összefoglaló bejegyzésében. A féreg (illetve megalkotójának) célja egyelőre ismeretlen, eddigi tevékenysége alapján az érintett modellek sérülékenységét kihasználva csak fertőz és újabb lehetséges áldozatok után kutat, tényleges kárt a megnövekedett adatforgalmon kívül még nem okozott. A támadható típusok listája elég hosszú, az E900, E1000, E1200, E1500, E1550, E2000, E2100L, E2500, E3000, E3200 és E4200 routerek tulajdonosainak érdemes elolvasni a Linksys által javasolt ideiglenes megoldást, de a gyártó már dolgozik az eszközök vezérlőszoftverének frissítésén is – az új firmware-eket a következő hetekben fogja elérhetővé tenni weboldalán. Ha valamelyik fentebb felsorolt routerrel rendelkezünk, fertőzésre utalhat a 80-as és 8080-as portokon a megnövekedett kimenő, szkennelő típusú forgalom, illetve az 1024-esnél alacsonyabb portokon a kapcsolódási próbálkozások.

A hiba kizárólag a gyári firmware-t futtató és távolról is menedzselhető routereket érinti, akik például OpenWrt-t használnak, azoknak nincs miért aggódniuk.

A nagyjából 2 MB méretű féreg egy hibás CGI szkriptet kihasználva, a hitelesítést megkerülve jut be a routerbe, majd további áldozatokat keres egy 670 különböző hálózatot tartalmazó lista IP-tartományát szkennelve. A fertőzött router ezek után szerverként is funkcionál, egy véletlenszerűen kiválasztott, mindig csak rövid ideig nyitott porton szolgálja ki a többi sérülékeny routerről érkező letöltési lekéréseket. Még nem tudják biztosan, hogy a The Moon rendelkezik-e valamilyen rejtett vezérlőcsatornával, amin keresztül a féreg létrehozója az eddigitől eltérő feladatra tudná utasítani, az eddig visszafejtett kódrészletek erre utalnak.

WARNING_YOU_ARE_VULNERABLE.txt

Az ASUS routerei esetében kicsit nagyobb a gond, a cég ugyanis a hiba feltárását követően fél évig nem foglalkozott a biztonsági lyuk befoltozásával, így a jóindulatú hackerek úgy döntöttek, hogy egy figyelemfelkeltő akcióval cselekvésre bírják a gyártót.

Az először 2013. június 22-én jelzett hiba lényege, hogy az ASUS bizonyos RT-sorozatba tartozó routereknél egyszerrre két hatalmas bakot is lőtt. Az FTP-szerver beállításoknál gyárilag alapértelmezettként engedélyezett a névtelen bejelentkezés (!), és az otthoni hálózatot, így az arra kötött eszközök távoli elérését is lehetővé AiCloud használatához szükséges felhasználónév és jelszó kódolatlan plain text formátumban került eltárolásra (!!) egy olyan fájlban, amihez bejelentkezés nélkül is hozzá lehetett férni (!!!).

Mivel az ASUS semmit sem tett, egy hackercsoport végül nyilvánosságra hozta közel 13 ezer sérülékeny router IP-címét, több ezer ezeken keresztül elért állománylistát, és 3131 AiCloud név-jelszó párost. Sőt, számos, a hiba kihasználásával elérhetővé váló háttértáron elhelyeztek egy WARNING_YOU_ARE_VULNERABLE.txt nevű szövegfájlt is, amiben figyelmeztetik a felhasználókat a veszélyre.

Erre már reagált az ASUS, és a frissített firmware-ekben javította a hibákat.