System ARAKIS zaobserwował wzrost aktywności na porcie 5168/TCP. Są to próby wykorzystania niedawno opublikowanych luk w oprogramowaniu Trend Micro ServerProtect.
Luki zostały upublicznione 21 sierpnia i dotyczą usługi RPC (Remote Procedure Call – Zdalne Wywołanie Procedur). Pozwalają one na wykonanie ataku typu buffer overflow (przepełnienie bufora), przez co napastnik może wykonać na atakowanej maszynie dowolny kod z uprawnieniami systemowymi. Oznacza to de facto całkowite przejęcie nad nią kontroli.

System ARAKIS pierwsze podejrzane pakiety skierowane na port 5168/TCP zauważył we wtorek, 21 sierpnia, a więc jeszcze przed upublicznieniem informacji o lukach. Jednak masowe połączenia na ten port rozpoczęły się dopiero pod koniec środy, 22 sierpnia.

W wyniku napływających danych o podobnej charakterystyce podczas prób połączeń, utworzony został nowy klaster.

Rosnąca liczba źródłowych adresów IP próbujących wykorzystać świeże luki w oprogramowaniu może oznaczać wypuszczenie nowego robaka sieciowego. Na uwagę zasługuje fakt, że połączenia skierowane na ten port pochodzą w przeważającej liczbie z terenu Chin (95% wszystkich źródłowych adresów IP).

Warto wspomnieć, że nie tylko nasz system zarejestrował wzmożoną aktywność na porcie 5168/TCP. Zespół specjalistów z Internet Storm Center alarmował o tym fakcie wczoraj, natomiast dzisiaj upublicznił dane z przechwyconych pakietów biorących udział w ataku.

Więcej informacji o lukach w aplikacji Trend Micro ServerProtect (po angielsku) można znaleźć na stronach secunia.com oraz www.securityfocus.com. Poprawki do Trend Micro ServerProtect dostępne są na stronie producenta.

Tags: ARAKIS, buffer overflow, exploit, luka, patch, robak, ServerProtect, Trend Micro

Wpis utworzony 23 sierpnia 2007 o 15:04 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0