«Σκουλήκι» επιτίθεται σε διακομιστές με Solaris ή IIS
«Σκουλήκι» με προτίμηση σε διακομιστές με λειτουργικό σύστημα Solaris της Sun και σε συστήματα στα οποία εκτελείται το πακέτο IIS της Microsoft για τη διαχείριση ενεργών ιστοσελίδων εντόπισε η Ομάδα Έκτακτης Aνάγκης σε Θέματα Υπολογιστών του Πανεπιστημίου Carnegie Mellon (CERT).
73
«Σκουλήκι» με προτίμηση σε διακομιστές με λειτουργικό σύστημα Solaris της Sun και σε συστήματα στα οποία εκτελείται το πακέτο IIS της Microsoft για τη διαχείριση ενεργών ιστοσελίδων εντόπισε η Ομάδα Έκτακτης Aνάγκης σε Θέματα Υπολογιστών του Πανεπιστημίου Carnegie Mellon (CERT).
Στο προειδοποιητικό μήνυμα που δημοσιοποίησε στο δικτυακό της τόπο την Τρίτη, η CERT αναφέρει ότι το «σκουλήκι» (με την κωδική ονομασία «sadmind/ISS worm») εκμεταλλεύεται ένα -γνωστό εδώ και περίπου δύο χρόνια- κενό ασφαλείας του λειτουργικού Solaris και ένα αντίστοιχο που εντοπίστηκε πριν από περίπου επτά μήνες στο λογισμικό IIS της Microsοft.
Αρχικά, το ύποπτο πρόγραμμα καταλαμβάνει το διακομιστή με Solaris και στη συνέχεια εγκαθιστά λογισμικό το οποίο του δίνει τη δυνατότητα να επιτεθεί σε συστήματα που εκτελούν το IIS. Παράλληλα, το «σκουλήκι» πολλαπλασιάζεται αυτομάτως, εντοπίζει και μολύνει και άλλους ευπαθείς διακομιστές με Solaris· προσθέτει το αρχείο .rhosts στον αρχικό φάκελο (home directory) του συστήματος και τροποποιεί το index.html των συστημάτων με Solaris, αφού προηγουμένως καταλάβει περί τα 2.000 συστήματα με IIS.
Τα συμπτώματα που παρουσιάζουν τα προσβληθέντα συστήματα με IIS είναι η εμφάνιση παραποιημένων ιστοσελίδων στις οποίες έχουν αναρτηθεί υβριστικά μηνύματα για την αμερικανική κυβέρνηση και μία διεύθυνση ηλεκτρονικού ταχυδρομείου που παραπέμπει στην Κίνα.
H CERΤ επισημαίνει ότι από τη Δευτέρα έχουν καταφτάσει στα γραφεία της πολλές αναφορές για διακομιστές και συστήματα που προσβλήθηκαν από το «σκουλήκι», χωρίς να αναφέρει συγκεκριμένο αριθμό. Κάποιοι διαχειριστές κάνουν λόγο και για προβλήματα (όπως κατεστραμμένα αρχεία που καθιστούν αδύνατη τη λειτουργία των διακομιστών που έχουν υπό τον έλεγχό τους), αλλά δεν έχει ακόμη ξεκαθαριστεί αν αυτά οφείλονται στη δράση του συγκεκριμένου «σκουληκιού».
Οι εταιρείες ανάπτυξης αντι-ιικών προγραμμάτων δεν έχουν να καταμαρτυρήσουν κανένα περιστατικό που να οφείλεται στη δράση του sadmind/IIS worm και δεν έχουν προχωρήσει στη θωράκιση των προγραμμάτων τους. Υποστηρίζουν ότι η CERT δεν έχει μέχρι στιγμής επικοινωνήσει μαζί τους για να τους ενημερώσει λεπτομερέστερα για τα χαρακτηριστικά και τη δράση του «σκουληκιού», στάση που ορισμένοι δεν διστάζουν να χαρακτηρίσουν «ανήθικη», όπως δήλωσε εκπρόσωπος της Kaspersky Lab στο CNN.
Η CERT, πάντως, δεν βλέπει τίποτα το μεμπτό στον τρόπο που χειρίστηκε το θέμα και πιστεύει ότι, ακόμη και αν ενημέρωνε τις εταιρείες, αυτές δεν θα μπορούσαν να αντιδράσουν, αφού υποστηρίζει ότι τα παραδοσιακά αντι-ιικά προγράμματα δεν μπορούν να… εξολοθρεύσουν το «σκουλήκι».
Η λύση που προτείνει η CERT είναι η κάλυψη των δύο κενών ασφαλείας, με την εγκατάσταση των αντίστοιχων βοηθητικών προγραμμάτων (patches) που έχουν δημοσιεύσει στους δικτυακούς τους τόπους τόσο η Sun όσο και η Microsoft.
Newsroom ΑΛΤΕΡ ΕΓΚΟ
