Nur fuer unsere Freunde die meinen das alle Probleme geloest sind:
From: "RUS-CERT (Florian Weimer)" <unattended@Lists.CERT.Uni-Stuttgart.DE>
To:
Ticker@Lists.CERT.Uni-Stuttgart.DE
Date: Today 16:03:02
[Generic] Neuer UDP-basierter Wurm verbreitet sich
(2004-03-20 11:47:09.803988+01)
Quelle:
http://isc.sans.org/diary.html?date=2004-03-20
Ein neuer Wurm verbreitet sich über UDP-Pakete. Ähnlich wie beim
Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von
infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme mit
BlackICE, einem ISS-Sicherheitsprodukt. Möglicherweise ist weitere
Software von ISS anfällig.
Betroffene Systeme
* BlackICE PC Protection 3.6 ccf
* Wahrscheinlich weitere BlackICE-Versionen, möglicherweise auch
andere ISS-Sicherheitsprodukte.
* Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt
verwundbare Systeme in Mitleidenschaft gezogen werden.
Einfallstor
UDP-Paket mit Quellport 4000 und zufälligem Zielport. Sehr
wahrscheinlich sind Angriffe über eine Broadcast-Adresse ebenfalls
erfolgreich, d.h. das Paket muß nicht direkt an das Opfer gerichtet
sein.
Auswirkung
Ein befallenes System verschickt in rascher Folge UDP-Pakete mit
Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich
dem [1]Slammer-Wurm).
Gefahrenpotential
hoch
(Hinweise zur [2]Einstufung des Gefahrenpotentials.)
Beschreibung
Ein UDP-basierter Wurm verbreitet sich seit 2004-03-19 05:46 MEZ. Laut
[3]ISC SANS sind Microsoft-Windows-Systeme mit BlackICE PC Protection
3.6 ccf, einer PC-Sicherheitssoftware ("Personal Firewall"), für diese
Angriffe anfällig. Es ist im Moment unbekannt, ob tatsächlich die von
EEYE bekanntgegebene [4]Schwachstelle für den Angriff genutzt wird,
und ob weitere ISS-Produkte (wie die RealSecure- und Proventia-Reihe,
siehe [5]IIS-Advisory zu der von EEYE gefunden Schwachstelle)
betroffen sind.
Die verschickten UDP-Pakete haben als Quellport 4000, der Zielport ist
zufällig gewählt (teilweise auch unter 1024), die Zieladresse
ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes.
Alle Pakete enthalten die Zeichenkette "insert witty message here".
Wie beim [6]Slammer-Wurm kann der Verkehr zu einem Denial of
Service-Angriff auf die Netzanbindung betroffener Systeme führen.
Sowohl die Bandbreite an sich als auch die zufällige Auswahl der
Zieladressen können eine Überlastung der Netzkomponenten verursachen.
Bis 2004-03-20 11:35 MEZ konnten wir 4800 befallene Systeme im
Internet detektieren. Wir beobachten derzeit pro 10.000 IP-Adressen
etwa 7 Angriffspakete pro Sekunde, die aus dem Internet ankommen.
Wenn weitere Information verfügbar wird, werden wir diese Mitteilung
aktualisieren.
Gegenmaßnahmen
* Als Notfallmaßnahme sollte eine Sperre von Paketen mit Quellport
4000 vor der verwundbaren Infrastruktur in Betracht gezogen
werden. Diese Sperre kann jedoch unerwünschte Nebenwirkungen haben
und z.B. DNS-Verkehr oder regulären ICQ-Verkehr beeinträchtigen.
* BlackICE-Benutzer sollten temporär auf den Einsatz der Software
verzichten und z.B. auf [7]Filter mit IPsec-Policies
zurückgreifen.
* Zusätzlich sollte eine Upgrade auf [8]BlackICE 3.6cfg vorgenommen
werden. Derzeit ist allerdings unklar, ob diese Maßnahme wirksam
ist. Eine Stellungnahme des Hersteller steht noch aus.
Weitere Information zu diesem Thema
* [9]Internet Security Systems PAM ICQ Server Response Processing
Vulnerability
* [10]Internet Security Systems Security Alert, Vulnerability in ICQ
Parsing in ISS Products
Aktuelle Version dieses Artikels
[11]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright ? 2004 RUS-CERT, Universität Stuttgart,
[12]http://CERT.Uni-Stuttgart.DE/
References
1.
http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065
2.
http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
3.
http://isc.sans.org/diary.html?date=2004-03-20
4.
http://www.eeye.com/html/Research/Advisories/AD20040318.html
5.
http://xforce.iss.net/xforce/alerts/id/166
6.
http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065
7.
http://CERT.Uni-Stuttgart.DE/os/ms/ipsec-paketfilter.php
8.
http://www.iss.net/download/
9.
http://www.eeye.com/html/Research/Advisories/AD20040318.html
10.
http://xforce.iss.net/xforce/alerts/id/166
11.
http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189
12.
http://CERT.Uni-Stuttgart.DE/
Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)