Újabb példáját láthatjuk, hogy miért kell folyamatosan frissíteni szoftvereinket. Március 20-án az Incidents.org portál figyelt fel először arra, hogy a 4000-es UDP portról feltűnően megnőtt a forgalom. Rövid időn belül kiderült, hogy emögött egy új féreg, a Witty áll, ami az Internet Security Systems cég BlackICE és RealSecure tűzfalainak március 18-án közreadott sérülékenységét használja ki.
A hiba az ISS Protokoll Analizáló Moduljában (PAM) található, és az ICQ protokolljának feldolgozásához kapcsolódik. A puffer túlcsordulásos hibát úgy lehet elérni, hogy a 4000-es UDP portról kell küldeni egy csomagot, amit a tűzfal hibásan ICQ 5 szerver által küldött üzenetként azonosít, majd továbbítja azt a veszéyeztetett algoritmusnak. Ezen keresztül a támadó távolról akármilyen kódot végre tud hajtani.
A Witty UDP csomagja 1025 byte hosszú, a kártékony rész az első 470 byte-on található. Ha ez az UDP csomag megfertőzte a számítógépet, akkor első lépésben megpróbálja továbbküldeni magát véletlenül kiválasztott IP címekre. 20.000 csomag elküldése után véletlen adatokat kezd a merevlemezre írni, ezzel hatalmas károkat tud okozni a fájlrendszerben.
Mivel ez a féreg nem fájlban terjed, hanem a memóriában található, a gép újraindításával írtható ki. Csak a következő szoftverekkel rendelkező gépek veszélyeztetettek:
-
BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf
-
BlackICE PC Protection 3.6 cbz, ccd, ccf
-
BlackICE Server Protection 3.6 cbz, ccd, ccf
-
RealSecure® Network 7.0, XPU 22.4 and 22.10
-
RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
-
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
-
RealSecure Desktop 3.6 ebz, ecd, ece, ecf
-
RealSecure Guard 3.6 ebz, ecd, ece, ecf
-
RealSecure Sentry 3.6 ebz, ecd, ece, ecf
Az érintett szoftverek frissítése letölthető az ISS weboldaláról.
Szeretnénk felhívni a figyelmet arra, hogy a sérülékenység publikálása után milyen hamar megjelent ez a féreg. Míg a tavalyi Blasternek még 1 hónap kellett a publikálástól az elterjedésig, a Wittynek már csak két napra volt szüksége. A rendszergazdáknak tehát a frissítéseket nagyon komolyan kell venni, mert az ISS szoftverekkel ellátott gépek gazdáit kellemetlen meglepetés (adatvesztés) érheti a napokban.
Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)