La semaine dernière, les chercheurs de l'Internet Storm Center du SANS Institute ont découvert l'existence d'un ver qui infecte certains routeurs Syslink. Les modèles touchés sont  les E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 et E900.

La bestiole s'appelle The Moon, mais ne fait pas de quartier :-) Elle scanne les ports 80 et 8080 des routeurs vulnérables, c'est-à-dire ceux qui ont leur interface d'administration web activée. Dans ce cas, le ver envoie une requête à un script CGI vulnérable ce qui aboutit à une connexion avec les droits de l'administrateur. Après quoi le ver exécute un script Shell qui télécharge un exécutable de 2Mo. Et le processus recommence, à la recherche d'autres routeurs vulnérables.

La présence du ver peut être détectée par son intense activité de scan sur les ports 80 et 8080. Quel est le but de ce ver ? Pour l'instant il semble qu'il ne fasse que se répandre. Mais la constitution d'un botnet de routeurs fait évidemment partie des choses possibles, pour ne pas dire très probables.