JAKARTA, PCplus – Kamu yang pakai router Linksys perlu berhati-hati. Ada worm komputer yang berpotesi menyusupi celah otentikasi pada firmware perangkat tersebut. Demikian wanti-wanti para peneliti sekuriti di SANS Institute’s Internet Storm Center (ISC).
Program pengganda-diri sendiri itu mempengaruhi Linksys E-series model E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 dan E900. Menurut ISC, mungkin ada lebih banyak model lain yang terpengaruh, tergantung pada firmware-nya, tetapi ISC tidak punya daftar lengkap dari model router Linksys yang rentan.
“Worm pertama-tama akan mengoneksi ke port 8080, dan jika diperlukan pakai SSL, meminta URL “/HNAP1/”,” jelas ISC. “Ini akan memberikan daftar fitur dan versi firmware router yang dalam format XLM. Worm sepertinya mengekstraksi versi hardware router dan revisi firmware.”
ISC mengatakan, worm akan mengirimkan exploit itu ke skrip CGI yang jalan di router tersebut. Permintaan itu sendiri tidak perlu otentikasi. Worm mengirimkan identitas ‘admin’ acak tetapi tidak diperiksa oleh skrip.
Lalu ada permintaan kedua, yang meluncurkan skrip shell sederhana yang akan meminta worm. Ukuran worm-nya sendiri sekitar 2MB. “Sampel yang kami tangkap sejauh ini kurang lebih sama, kecuali ada trailer random di bagian akhir binary. File-nya adalah ELF MIPS binary,” tambah ISC.
Begitu kode berjalan, router yang terinfeksi kemudian akan mencari korban-korban lain. Menurut ISC, worm ini menyertakan daftar dari sekitar 670 jaringan yang berbeda, semuanya tampak terhubung ke ISP cable atau modem DSL di berbagai negara.
“Router yang terinfeksi juga akan melayani binary pada random low port untuk diunduh korban baru. Server http ini hanya terbuka sebentar, dan untuk setiap target, sebuah server baru dengan port yang berbeda dibuka,” terang ISC.
Para pakar sekuriti ISC belum tahu apakah ada command and control channel, tetapi menyebutkan bahwa worm menyertakan string yang menunjuk ke command and control channel.
“Worm juga menyertakan halaman basic HTML dengan gambar-gambar yang sepertinya tidak berbahaya dan miri kartu nama. Ada gambar berbasiskan film ‘The Moon’ yang kami gunakan sebagai nama worm,” kata ISC. Menurut ISC, worm komputer bisa jadi merupakan bot jika ada command and control channel yang berfungsi.
Eh bagaimana kamu tahu jika router-mu terinfeksi? Indikatornya, kata ISC, sebagai berikut:
– scanning keluar (outbound) yang berat di port 80 dan 8080.
– percobaan koneksi inbound ke port < 1024.
Untuk mendeteksi apakah sistemmu mungkin rentan, ketik:
echo “GET /HNAP1/ HTTP/1.1\r\nHost: test\r\n\r\n” | nc routerip 8080
Jika kamu mendapatkan XML HNAP output kemmbali, maka kamu MUNGKIN rentan.