Varnostna obvestila / 20. 7. 2001

SI-CERT 2001-04 / “Code Red” črv

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 in Windows 2000 z nameščenim IIS 4.0 ali IIS 5.0.

Opis

SI-CERT je prejel več obvestil o hitrem širjenju črva z imenom "Code Red", ki izkorišča luknjo v IIS Indexing Service DLL knjižnici. Trenutne ocene kažejo na okužbo preko 200,000 sistemov in nadaljevanje širjenja. Črv se poskuša širiti tudi po slovenskih delih omrežja.

Napad črva "Code Red" vsebuje naslednje korake:

preveri dostopnost porta 80 na ciljnem sistemu (HTTP servis)
pošlje posebno HTTP GET zahtevo, ki izrablja luknjo v IIS Indexing Service DLL knjižnici, ki je opisana v CERT/CC CA-2001-13 obvestilu
če je luknja prisotna, se črv zažene na napadenem sistemu
preveri, ali obstaja datoteka c: otworm – če ta obstaja, črv prekine svoje izvajanje
drugače črv zažene 100 procesnih niti, ki začnejo pregledovati obstoj porta 80 na naključnih IP naslovih z namenom samodejnega širjenja črva
če je privzeti jezik na sistemu angleški, črv po 100 zagnanih procesnih nitih in po preteku določenega časa spremeni funkcionalnist spletnega strežnika tako, da za vsako zahtevo vrne sporočilo:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

ta tekst se nahaja v pomnilniku sistema – spletne strani na disku ostanejo nespremenjene
če privzeti jezik ni angleščina, črv ne spremeni spletnih strani, vendar se vseeno poskuša širiti na druge sisteme
če je dan v mesecu večji od 19, potem niti namesto iskanja ranljivih sistemov poplavijo s podatki strežnik www.whitehouse.gov.

Poskus širjenja na sistem lahko opazimo v zapisih spletnega strežnika kot zahtevo oblike:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

CodeRed II uporablja namesto znaka N znak X, koda, ki sledi pa je podobna.

Ukrepanje

Namestite popravek za IIS Indexing Service DLL, ki je na voljo na naslovu:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Ponovno zaženite sistem (reboot)

Dodatne informacije

Preberite tudi

Varnostna obvestila / 3. 5. 2026

SI-CERT 2026-03 / Copy.Fail ranljivost modula crypto: algif_aead

Linux jedro že od leta 2017 naprej vsebuje ranljivost v crypto API modulu, ki omogoča dvig pravic kateremukoli uporabniku na sistemu (privilege escalation). Po do sedaj znanih podatkih so ranljive vse distribucije linux operacijskega sistema, ki uporabljajo jedro 6, ranljivost je odpravljena v verziji 7.

Več

Varnostna obvestila / 2. 3. 2026

SI-CERT 2026-02 / Ranljivost v WordPress vtičniku PixelYourSite

WordPress vtičnik PixelYourSite vsebuje ranljivost z visoko resnostjo, ki omogoča vstavljanje in trajno shranjevanje zlonamerne kode v vsebino spletnega mesta

Več

Varnostna obvestila / 25. 2. 2026

SI-CERT 2026-01 / Ranljivosti Cisco Catalyst SD-WAN

Prva objava: 25. februar 2026Zadnje urejanje: 26. februar 2026 Povzetek Podjetje Cisco je objavilo več ranljivosti Cisco Catalyst SD-WAN Controller in Cisco Catalyst SD-WAN Manager naprav, ki se že aktivno …

Več