Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.

W popularnym serwerze FTP znaleziono klasyczny błąd pozwalający nadpisać dane znajdujące się na stosie. Dokładny opis błędu można znaleźć na bugzilli proftpd :
http://bugs.proftpd.org/show_bug.cgi?id=3521. Błąd zgłoszony przez TippingPoint związany jest z czytaniem sekwencji znaków zaczynających się od TELNET_IAC (opis sekwencji w RFC854). Możliwe jest przeprowadzenie zdalnego ataku na serwer FTP. Podatne są wersje 1.3.2 oraz 1.3.3.

Read more

Botnet Bredolab według niektórych oszacowań składał się z ponad 30 mln zainfekowanych maszyn. W trakcie śledztwa prowadzonego w minionych tygodniach zidentyfikowano 143 serwery związane z botnetem. Jednostka Dutch National High Tech Crime Team, holenderskie służby zajmujące się przestępstwami komputerowymi, 25 października podjęły działania mające na celu zniszczenie botnetu. W akcji brały udział też między innymi GovCERT.NL i firma Fox-IT. Rozpoczęto odłączanie kolejnych serwerów Command-and-Control od sieci Internet. Narodowa policja w Holandii w trakcie śledztwa starała się namierzyć podejrzanych o kierowanie botnetem. Głównego podejrzanego, 27-letniego Ormianina, namierzono w Rosji. Aresztowano go na lotnisku Zvartnots w Erywaniu w Armenii.

Read more