W godzinach rannych dnia 21.11.2007 nasz system wczesnego ostrzegania ARAKIS zarejestrował interesujące przepływy. Były to próby wykorzystania luki w popularnym narzędziu do analizy statystyk serwerowych AWStats. Celem tego działania miało być ściągnięcie i uruchomienie na atakowanym komputerze narzędzia Barbut służącego do zdalnego przeprowadzania ataków DDoS.
Na ten atak podatne są wersje oprogramowania AWStats 6.4 i 6.5. Luka polega na tym, że atakujący poprzez specjalnie spreparowane wywołanie skryptu awstats.pl może wykonać w powłoce dowolne polecenia, które przekazywane są z użyciem znaku “pipe” (”|”). W konfiguracji AWStats musi być ponadto włączony parametr AllowToUpdateStatsFromBrowser. Informacja o podatności ukazała się 4 maja 2006 roku.

Barbut najprawdopodobniej służy do zdalnego przeprowadzania ataków typu DDoS. W Internecie napotkać można informacje o powiązaniach tego narzędzia z linuksowym trojanem Kaiten – klientem zarządzanym przez IRC służącym właśnie do ataków DDoS.

Analiza przechwyconych przez ARAKIS przepływów (oraz wytworzonego na ich podstawie klastra) pozwala poznać prostotę tego ataku (można go sklasyfikować jako Shell Command Injection). Przede wszystkim w niezbyt wyrafinowany sposób komputer atakujący (najprawdopodobniej jest to automat, być może zarażony robakiem propagującym się w ten sposób dalej) atakuje “na ślepo” maszyny o otwartych portach 80/TCP (bez względu, czy jest na nich używane narzędzie AWStats, czy nie). Od razu przesyłane są w żądaniach HTTP “GET” wstrzyknięte polecania ściągnięcia z trzeciego serwera pliku barbut i wykonania go (po wcześniejszym nadaniu mu odpowiednich praw).

Aby uchronić się przed tego typu atakami, należy używać narzędzia AWStats w najnowszej wersji (na chwilę obecną jest nią 6.7) ściągniętej ze strony producenta.

Żródła: inf. własna, awstats.sourceforge.net, CVE-2006-2237

Microsoft opublikował listopadowy biuletyn bezpieczeństwa, w którym zamieścił dwie poprawki, jedną krytyczną i jedną ważną.
Poprawka krytyczna:

• MS07-061 – luka w bibliotece odpowiedzialnej za przetwarzanie odnośników URI, pozwalająca na zdalne wykonanie kodu.

Poprawka ważna:

• MS07-062 – luka w serwerze Windows DNS, pozwalająca atakującemu na wysłanie sfałszowanej odpowiedzi.

W ciągu ostatniego dnia do wielu osób dotarły listy wysłane rzekomo przez portal fotka.pl, które miały zawierać informację o oczekującej wiadomości od użytkownika. W rzeczywistości kliknięcie w odnośnik zamieszczony w wiadomości przenosiło na spreparowany profil użytkownika zawierający złośliwy kod.
Na podstawionej stronie znajdował się program udający instalator odtwarzacza technologii flash. W rzeczywistości był to koń trojański wykrywany jako Trojan.Win32.Agent.CRH.

Służy on osobie kontrolującej zainfekowany komputer m.in do rozsyłania spamu, w tym… rzekomych wiadomości z fotka.pl.

Pod żadnym pozorem nie należy klikać w link zawarty w opisanej wiadomości. Odpowiednie ostrzeżenie znalazło się także na blogu właściciela fotka.pl (z krótkim odnośnikiem w samym serwisie).

http://blog.fotka.pl/2007/11/uwaga-faszywe-linki-do-fotkapl.html