Linux.Slapper.Worm

#1 Seit Freitag kursiert ein neuer Wurm, der ausschließlich Apache-Installationen unter Linux befällt, Linux.Slapper.Worm. Die befallenen Rechner sollen offenbar im Rahmen einer distributed Denial-of-Service-Attack (DDoS) missbraucht werden.

Der Wurm nutzt eine bekannte Sicherheitslücke von Open SSL aus, die als Kandidat (CAN-2002-0656) für die CVE-Liste von Mitre gilt (Common Vulnerabilities and Exposures). Der Wurm konnektiert zunächst Port 80 eines Rechners und sendet einen fehlerhaften GET-Befehl. Danach versucht er, über Port 443 seinen Code zu übertragen. Nach der Kompilierung und Ausführung wartet er auf Befehle (Port 2002) von einer IP, die dem Angreifer zugeordnet wird.

Gleichzeitig verbreitet sich der Wurm aber auch selbst, indem er das beschriebene Szenario selbst anhand einer randomisierten Adressliste fortsetzt, weitere Rechner scannt und infiziert.

Der Wurm wurde "in the Wild" gesichtet und scheint eine gewisse Reichweite erlangt zu haben. Das beschriebene Angriffsszenario wurde laut Symantec bereits bei 3.500 IP-Adressen festgestellt.

Da der Wurm ähnliche Routinen aufweist, wie eine Peer-to-Peer-Software, können vermutlich auch die Ziele einer DDoS-Attacke und die IP-Adresse des Angreifers nachträglich neu bestimmt werden.


Symantec: Linux.Slapper.Worm
http://securityresponse.symantec.com/avcenter/venc/data/linu x.slapper.worm.html


CAN-2002-0656 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0656


Beschreibung der Open SSL-Sicherheitslücke bei BugTraq
http://online.securityfocus.com/bid/5363
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...