2. Hírek
  3. Szoftver

A BlackICE hibáját kihasználó féreg terjed

Újabb példáját láthatjuk, hogy miért kell folyamatosan frissíteni szoftvereinket. Március 20-án az Incidents.org portál figyelt fel először arra, hogy a 4000-es UDP portról feltűnően megnőtt a forgalom. Rövid időn belül kiderült, hogy emögött egy új féreg, a Witty áll, ami az Internet Security Systems cég BlackICE és RealSecure tűzfalainak március 18-án közreadott sérülékenységét használja ki.

A hiba az ISS Protokoll Analizáló Moduljában (PAM) található, és az ICQ protokolljának feldolgozásához kapcsolódik. A puffer túlcsordulásos hibát úgy lehet elérni, hogy a 4000-es UDP portról kell küldeni egy csomagot, amit a tűzfal hibásan ICQ 5 szerver által küldött üzenetként azonosít, majd továbbítja azt a veszéyeztetett algoritmusnak. Ezen keresztül a támadó távolról akármilyen kódot végre tud hajtani.

Hirdetés

A Witty UDP csomagja 1025 byte hosszú, a kártékony rész az első 470 byte-on található. Ha ez az UDP csomag megfertőzte a számítógépet, akkor első lépésben megpróbálja továbbküldeni magát véletlenül kiválasztott IP címekre. 20.000 csomag elküldése után véletlen adatokat kezd a merevlemezre írni, ezzel hatalmas károkat tud okozni a fájlrendszerben.

Mivel ez a féreg nem fájlban terjed, hanem a memóriában található, a gép újraindításával írtható ki. Csak a következő szoftverekkel rendelkező gépek veszélyeztetettek:

  • BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf
  • BlackICE PC Protection 3.6 cbz, ccd, ccf
  • BlackICE Server Protection 3.6 cbz, ccd, ccf
  • RealSecure® Network 7.0, XPU 22.4 and 22.10
  • RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
  • RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
  • RealSecure Desktop 3.6 ebz, ecd, ece, ecf
  • RealSecure Guard 3.6 ebz, ecd, ece, ecf
  • RealSecure Sentry 3.6 ebz, ecd, ece, ecf

Az érintett szoftverek frissítése letölthető az ISS weboldaláról.

Szeretnénk felhívni a figyelmet arra, hogy a sérülékenység publikálása után milyen hamar megjelent ez a féreg. Míg a tavalyi Blasternek még 1 hónap kellett a publikálástól az elterjedésig, a Wittynek már csak két napra volt szüksége. A rendszergazdáknak tehát a frissítéseket nagyon komolyan kell venni, mert az ISS szoftverekkel ellátott gépek gazdáit kellemetlen meglepetés (adatvesztés) érheti a napokban.

Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)

Előzmények