Skoči na vsebino

SI-CERT 2001-05 / Predvideno ponovno širjenje “Code Red” črva

30. 7. 2001

SI-CERT 2001-05 / Predvideno ponovno širjenje “Code Red” črva

1. avgusta 2001 je predvideno ponovno širjenje “Code Red” črva na sistemih z nameščenim Microsoft IIS strežnikom. Vse skrbnike takih sistemov pozivamo, da namestijo popravek, ki je opisan v obvestilu SI-CERT 2001-04!

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 ali Windows 2000 in nameščenim IIS 4.0 ali IIS 5.0 strežnikom.

Opis

Črv “Code Red”, ki izrablja luknjo v IIS Indexing Service knjižnici, deluje v treh načinih, ki so določeni z obdobjem v mesecu:

  1. med 1. in 19. dnem v mesecu črv išče Microsoft IIS strežnike po internetu in jih skuša okužiti s svojo kopijo
  2. med 20. in 27. dnem v mesecu poskuša onemogočiti strežnik www.whitehouse.gov z vzpostavljanjem velikega števila zahtevkov po dokumentih
  3. od 28. dne v mesecu naprej črv “spi”

Prvotna različica črva je po 28. dnevu v mesecu prenehala z delovanjem, vendar so se pojavile nove različive, ki se ponovno aktivirajo z začetkom novega meseca.

Ker se v črvu nahaja IP naslov spletnega strežnika Bele hiše, se je napadu bilo mogoče izogniti s spremembo IP naslova in namestitvijo filtrov na usmerjevalnikih. Ne glede na to pa prva faza delovanja črva lahko zmanjša odzivnost vašega sistema, hkrati pa lahko črv povzroči dodaten promet na omrežju. Tako lahko na nekaterih podomrežjih, kjer se nahaja veliko število ranljivih strežnikov, pride celo do zastojev pri delovanju omrežja.

Poleg črva “Code Red” lahko nepooblaščen vstop v sistem z izrabo iste luknje pridobi tudi drug program ali posameznik. SI-CERT je v preteklih tednih odkril nekaj takšnih vdorov preko IIS Indexing Service, preko katerih so na strežnike bila nameščena orodja za distribuirane napade na tuje sisteme (“DDoS – Distributed Denial-of-Service”).

Zaradi navedenega svetujemo vsem skrbnikom Microsoft IIS strežnikov namestitev popravka, ki je opisan v SI-CERT 2001-04 obvestilu.

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več