30. 7. 2001

SI-CERT 2001-05 / Predvideno ponovno širjenje “Code Red” črva

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 ali Windows 2000 in nameščenim IIS 4.0 ali IIS 5.0 strežnikom.

Opis

Črv “Code Red”, ki izrablja luknjo v IIS Indexing Service knjižnici, deluje v treh načinih, ki so določeni z obdobjem v mesecu:

1. med 1. in 19. dnem v mesecu črv išče Microsoft IIS strežnike po internetu in jih skuša okužiti s svojo kopijo
2. med 20. in 27. dnem v mesecu poskuša onemogočiti strežnik www.whitehouse.gov z vzpostavljanjem velikega števila zahtevkov po dokumentih
3. od 28. dne v mesecu naprej črv “spi”

Prvotna različica črva je po 28. dnevu v mesecu prenehala z delovanjem, vendar so se pojavile nove različive, ki se ponovno aktivirajo z začetkom novega meseca.

Ker se v črvu nahaja IP naslov spletnega strežnika Bele hiše, se je napadu bilo mogoče izogniti s spremembo IP naslova in namestitvijo filtrov na usmerjevalnikih. Ne glede na to pa prva faza delovanja črva lahko zmanjša odzivnost vašega sistema, hkrati pa lahko črv povzroči dodaten promet na omrežju. Tako lahko na nekaterih podomrežjih, kjer se nahaja veliko število ranljivih strežnikov, pride celo do zastojev pri delovanju omrežja.

Poleg črva “Code Red” lahko nepooblaščen vstop v sistem z izrabo iste luknje pridobi tudi drug program ali posameznik. SI-CERT je v preteklih tednih odkril nekaj takšnih vdorov preko IIS Indexing Service, preko katerih so na strežnike bila nameščena orodja za distribuirane napade na tuje sisteme (“DDoS – Distributed Denial-of-Service”).

Zaradi navedenega svetujemo vsem skrbnikom Microsoft IIS strežnikov namestitev popravka, ki je opisan v SI-CERT 2001-04 obvestilu.