Skoči na vsebino

SI-CERT 2001-04 / “Code Red” črv

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 in Windows 2000 z nameščenim IIS 4.0 ali IIS 5.0.

Opis

SI-CERT je prejel več obvestil o hitrem širjenju črva z imenom "Code Red", ki izkorišča luknjo v IIS Indexing Service DLL knjižnici. Trenutne ocene kažejo na okužbo preko 200,000 sistemov in nadaljevanje širjenja. Črv se poskuša širiti tudi po slovenskih delih omrežja.

Napad črva "Code Red" vsebuje naslednje korake:

  • preveri dostopnost porta 80 na ciljnem sistemu (HTTP servis)
  • pošlje posebno HTTP GET zahtevo, ki izrablja luknjo v IIS Indexing Service DLL knjižnici, ki je opisana v CERT/CC CA-2001-13 obvestilu
  • če je luknja prisotna, se črv zažene na napadenem sistemu
  • preveri, ali obstaja datoteka c: otworm – če ta obstaja, črv prekine svoje izvajanje
  • drugače črv zažene 100 procesnih niti, ki začnejo pregledovati obstoj porta 80 na naključnih IP naslovih z namenom samodejnega širjenja črva
  • če je privzeti jezik na sistemu angleški, črv po 100 zagnanih procesnih nitih in po preteku določenega časa spremeni funkcionalnist spletnega strežnika tako, da za vsako zahtevo vrne sporočilo:
     

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

     
    ta tekst se nahaja v pomnilniku sistema – spletne strani na disku ostanejo nespremenjene

  • če privzeti jezik ni angleščina, črv ne spremeni spletnih strani, vendar se vseeno poskuša širiti na druge sisteme
  • če je dan v mesecu večji od 19, potem niti namesto iskanja ranljivih sistemov poplavijo s podatki strežnik www.whitehouse.gov.

Poskus širjenja na sistem lahko opazimo v zapisih spletnega strežnika kot zahtevo oblike:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

CodeRed II uporablja namesto znaka N znak X, koda, ki sledi pa je podobna.

Ukrepanje

Dodatne informacije

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več