安全公告编号:CNTA-2014-0010

近日，国家信息安全漏洞共享平台（CNVD）联合上海交通大学网络信息中心对Linksys多款路由器产品受到漏洞和“themoon”蠕虫攻击威胁的情况进行了分析和监测，获知互联网上有近2.5万个IP对应的路由器设备受到攻击威胁，其中中国境内用户有近600个设备IP，对企业和用户上网安全构成较大的威胁。具体情况通报如下：

一、  漏洞和蠕虫情况分析

Linksys是知名路由器品牌，2013年以前归属思科公司（Cisco），现该品牌归属贝尔金公司（Belkin）。2014年2月16日，Linksys多款路由器产品被披露存在一个安全绕过高危漏洞（CNVD收录编号：CNVD-2014-01260），由于产品未能对tmUnblock.cgi、hndUnblock.cgi等CGI页面以及后台服务的访问权限进行限制，攻击者可利用漏洞执行特定指令，取得路由器设备的控制权，继而可发起DNS劫持、网络钓鱼等攻击，对用户个人信息安全构成威胁。

2月中旬，国外研究者发现一种名为“themoon”蠕虫正在发起对Linksys路由器的攻击。该蠕虫利用的是Linksys相关CGI页面的漏洞，对暴露在互联网上的Linksys路由器80或8080端口开展扫描，利用漏洞从黑客控制的服务器上下载恶意程序至路由器设备上，完成对路由器的远程控制。根据进一步分析，该蠕虫还会使用SSL协议进行远程控制，并对其他的恶意攻击采取排他措施。

二、攻击影响范围

CNVD对漏洞的综合评级为“高危”。根据国外研究者的分析结果，受漏洞和“the moon”蠕虫影响的Linksys路由器产品不仅包括LinksysE系列的E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900和E300，还包括其他系列的的WAG320N、WAP300N、WAP610N、WES610N、WET610N、WRT610N、WRT600N、WRT400N、WRT320N、WRT160N和WRT150N。上述版本产品在企业及个人用户中应用较为广泛。

根据CNVD和上海交通大学网络信息中心的联合监测结果，至2014年3月13日，共检测发现到互联网上有近2.5个IP对应为所述Linksys路由器设备，位于美国、加拿大和中国的IP数量排名前三。如下表所示为排名前十位的国家和地区以及对应IP数量情况 。

国家和地区	IP数量
美国	18852
加拿大	1646
中国	594
荷兰	364
俄罗斯	288
保加利亚	268
澳大利亚	220
中国香港	179
丹麦	170
乌克兰	156

三、漏洞处置建议

目前，贝尔金公司尚未对上述漏洞及蠕虫情况发布针对性的补丁或升级程序，但在其官方网站上发布了防范攻击的指导性方法，主要步骤有：升级路由器固件版本至2.0.04版以上；通过路由器Web管理界面，在“RemoteManagement Access”中将“Remote Management”设置为“Disable”；在Web管理界面“Security”功能中，勾选上“Filter Anonymous Internet Request”选项。

建议广大用户参考上述步骤进行加固，并随时关注厂商主页以获取最新版本或补丁信息。同时，CNVD建议国内路由器厂商排查本公司产品，如产品有与上述Linksys产品代码同源的，需及时做好用户的安全响应工作。

CNVD将持续跟踪漏洞处置情况，如需技术支援，请联系CNVD。联系电话：010-82990286，邮箱：vreport@cert.org.cn，网站： www.cnvd.org.cn。

相关安全公告链接参考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-01260

http://kb.linksys.com/Linksys/ukp.aspx?pid=80&app=vw&vw=1&login=1&json=1&docid=56b6de2449fd497bb8d1354860f50b76_How_to_prevent_getting_The_Moon_malware.xml

http://www.exploit-db.com/exploits/31683/

https://isc.sans.edu/diary/Linksys+Worm+Captured/17630