Apache-haavoittuvuutta hyödyntävä mato-ohjelma ”Scalper”

Scalper on matto-haittaohjelma, joka hyödyntää äskettäin raportoitua (CERT-FI –varoitus 2002-36) Apache WWW-palvelinohjelmiston ”chunked encoding” –haavoittuvuutta. Löytäessään haavoittuvan Apache-ohjelmiston, jota käytetään FreeBSD-käyttöjärjestelmällä varustetussa palvelimessa, Scalper asentuu tiedostoihin ”/tmp/.uua” ja ”/tmp/.a”. Tämän jälkeen mato-ohjelma avaa takaportin palvelimelle UDP-porttiin 2001 ja ryhtyy skannaamaan läpi ennalta määriteltyjä IP-osoiteavaruuksia. Takaportti mahdollistaa hyökkääjän oman koodin ajamisen järjestelmässä, sähköpostin lähettämisen sekä palvelunestohyökkäysten toteuttamisen.

Madon lähdekoodi on julkaistu verkossa, joten eri versioita on hyvin todennäköisesti odotettavissa. Uudet versiot voivat toimia myös muissa kuin FreeBSD-käyttöjärjestelmällä varustetuissa palvelimissa.

Mato-ohjelma tunnetaan myös mm. nimillä Ehchapa, PHP/Exploit-Apache, UNIX/Exploit-Apache, ELF_SCALPER.A

CERT-FI suosittelee Apache WWW-palvelimien päivittämistä viipymättä uusimpaan ohjelmistoversioon.

Varoituksen kohderyhmä

Varoitusta kirjoitettaessa: FreeBSD-käyttöjärjestelmällä varustetut Apache-palvelimet Apache-ohjelmistoversioilla 1.2-1.3.24, 2-2.0.36. Koska Scalper mato-ohjelmiston lähdekoodi on julkaistu Internetissä, on odotettavissa matoversioita jotka toimivat eri käyttöjärjestelmillä.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Apache WWW-palvelinohjelmisto vähintään versioon 1.3.26 tai 2.0.39.

Lisätietoa

http://www.europe.f-secure.com/v-descs/scalper.shtml
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2002-36.htm
http://httpd.apache.org/info/security_bulletin_20020620.txt

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248