"Slapper" mato-ohjelma Linux-pohjaisissa Apache WWW-palvelimissa

13.9.2002 illalla havaittiin leviämässä uusi OpenSSL-kirjastojen haavoittuvuuksia (katso CERT-FI -varoitus 45/2002) hyödyntävä mato-ohjelma "Slapper". Ohjelma leviää Linux-käyttöjärjestelmää käyttävissä Apache WWW-palvelimissa, joissa on aktivoitu SSLv2 -toiminne ja käytettävä OpenSSL -kirjasto on 0.9.6d tai vanhempi.

Madon skannausyritys voi näkyä WWW-palvelimen lokitiedoissa seuraavanlaisena HTTP GET -pyyntönä:

GET /mod_ssl:error:HTTP-request HTTP/1.0

Tämän pyynnön näkyminen lokitiedoissa ei tarkoita järjestelmän saastumista, lähinnä ilmaisee pyynnön lähettäneen järjestelmän olevan todennäköisesti "Slapper"-madon vaikutuspiirissä.

"Slapper"-madon koodi on nähty löytyvän saastuneista järjestelmistä seuraavista tiedostoista:

/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq

Jos tiedostot löytyvät WWW-palvelimen levyjärjestelmästä, on palvelin erittäin todennäköisesti saanut Slapper-tartunnan.

Slapper-matoon kuuluu peer-to-peer -vertaisverkko, joka käyttää UDP-porttia 2002 kommunikointiin. Vertaisverkon kautta voidaan käynnistää palvelunestohyökkäyksiä sekä suorittaa koneessa komentoja hyökkäjän toimesta.

CERT-FI pyytää raportoimaan havainnoista saastuneista järjestelmistä, mieluiten sähköpostilla osoitteeseen cert@ficora.fi.

Varoituksen kohderyhmä

Intel x86 -arkkitehtuuripohjaiset Linux WWW-palvelimet, joissa on käytössä SSLv2 -toiminne ja OpenSSL-kirjaston versio on 0.9.6d tai vanhempi.

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä OpenSSL-kirjasto vähintään versioon 0.9.6e. Uusin saatavilla oleva OpenSSL-kirjastoversio on 0.9.6g.
  • Poista SSLv2 -kättely käytöstä. Eräs menetelmä on muuttaa Apache-konfiguraatiotiedostosta SSLChiperSuite -määrittelyrivillä

    +SSLv2 muotoon !SSLv2.

    SSLv2 -kättelyn poisto ei välttämättä suojaa kaikilta SSL-kirjaston haavoittuvuuksilta.
  • Palvelunestohyökkäysmodulin kommunikoinnin voi estää rajoittamalla liikenteen UDP-portista/porttiin 2002.

  • TOIMINTAOHJEISTUS JOS JÄRJESTELMÄ ON SAANUT TARTUNNAN

    Jos järjestelmä on saanut Slapper-tartunnan, itse madon voi poistaa poistamalla seuraavat tiedostot

    /tmp/.uubugtraq
    /tmp/.bugtraq.c
    /tmp/.bugtraq

    sekä käynnistämällä tietokoneen uudestaan. Perusmuodossaan leviävä mato ei sisällä mitään käyttöjärjestelmän käynnistyksen yhteydessä ajettavaa koodia.

    HUOMIO: On mahdollista, että madon vertaisverkkotoiminnon kautta saastuneessa järjestelmässä on ajettu komentoja. Perusteellinen järjestelmän tarkistus on paikallaan.

    Lisätietoa

    http://www.cert.org/advisories/CA-2002-27.html
    http://isc.incidents.org/analysis.html?id=167
    http://www.f-secure.fi/v-descs/slapper.shtml
    http://www.f-secure.com/slapper/

    Päivityshistoria

    Asiasanat: Tietoturva , Varoitukset

    LinkedIn Print

    Yhteystiedot

    logo

    Viestintävirasto

    Kyberturvallisuuskeskus

    PL 313, 00181 Helsinki


    Mediayhteydenotot puhelimitse 0295 390 248