ƒес€тка самых "попул€рных" угроз, исход€щих из »нтернет (данные за первый квартал 2002 г.)

ƒес€тка самых "попул€рных" угроз, исход€щих из »нтернет (данные за первый квартал 2002 г.)

  1. Code Red - MS Indexing Server/Indexing Services ISAPI Buffer Overflow Attack
    Code Red - резидентный червь, который по€вилс€ на свет летом 2001. — тех пор он постепенно трансформировалс€ в черв€ Code Red II, который использет брешь в защите MS IIS 4.0-5.0. ќн также €вл€етс€ одним из векторов нападени€, используемых в черве Nimda. — тех пор Code Red ежемес€чно инфицирует и переинфицирует незащищенные системы во всем мире. «а семь мес€цев существовани€ Code Red нападение стало самым распространенным типом нападени€ в »нтернет.

  2. Nimda - Microsoft IIS 4.0/5.0 Extended UNICODE Directory Traversal Attack
    Nimda - мультивекторный червь, который стремительно распростран€етс€ с 18 сент€бр€ 2001. — тех пор, Nimbda посто€нно переинфицирует незащищенные системы. «а 6 мес€цев своего существовани€ случайные атаки с зараженных машин стали одним из наиболее обыденных типов нападений, которые мы можем встретить в »нтернет.

  3. Matt Wright Formmail attack
    Formmail стал любимым инструментом спамеров. Formmail позвол€ет посылать по электронной почте подчиненные формы. ≈сли форма попадает на незащищенный компьютер, то злоумышленник способен отослать spam просто включением целого списка адресов электронной почты в HTTP запрос Formmail. Ёто делает прослеживание происхождени€ спама трудным делом, так как IP-адрес Ђавтораї может сохранитьс€ только в логах сайта.
    FormMail - широко используемый web-путь проникновени€ электронной почты, позвол€ющий form-based вход и рассылку по указанным пользовател€м.  огда форма представлена, команды будут выполнены на хосте, с привилеги€ми процесса web-сервера. Ёто может позволить хакеру получить локальный доступ к хосту.

  4. WU-FTPD File Globbing Heap Corruption Attack
    Wu-ftpd Ц ftp сервер, основанный на BSD ftpd и поддерживаемый ¬ашингтонским ”ниверситетом. Wu-ftpd позвол€ет клиентам организовать файлы дл€ ftp действий, основанных на "file globbing"-шаблоне. File globbing также используетс€ различными оболочками. File globbing, включенный в Wu-ftpd, содержит у€звимость неккоректного заголовка, что позвол€ет нападающему выполнить произвольный код на удаленном сервере.


  5. SSH CRC32 Compensation Detection Attack

    SSH - зашифрованный протокол удаленного доступа. ћногие системы во всем мире используют SSH или коды, основанные на SSH в разнообразных коммерческих приложени€х. ќшибка целочисленного переполнени€ в коде CRC-32 позвол€ет удаленному атакующему записать значени€ по произвольному местоположению в пам€ти. Ёта у€звимость была обнаружена больше года назад - 8 феврал€ 2001; однако, даже спуст€ год, она остаетс€ бичом Cisco и различных систем Linux. Ёто Ц сама€ попул€рна€ по используемости у€звимость таких систем.

  6. Generic CDE dtspcd Buffer Overflow Attack

    SecurityFocus определил, что хакеры активно используют Common Desktop Environment (CDE) dtspcd Buffer Overflow в операционных системах Sun Solaris. ”€звимость переполнени€ буфера в одном из компонентов CDE, dtspcd, позвол€ет удаленному атакующему получить привилегии администратора на машине жертвы.  од эксплоита устанавливает временный backdoor в порту 1524. ѕо данным SecurityFocus, хакеры замен€ли "/bin/login" файл тро€ном, содержащим backdoor.  роме того, SecurityFocus получили код CDE dtspcd Buffer Overflow эксплоита, который до сих пор активно используют хакеры.
    ѕо данной у€звимости SecurityFocus рекомендует администраторам блокировать порты 6112 и 1524 в межсетевой защите.  роме того, администраторы должны установить заплаты, уместные в их операционной системе.

  7. Generic System V Derived Login Buffer Overflow Attack
    'login' - программа, используема€ в системах Unix дл€ подтверждени€ аутентичности пользователей с их username и паролем.

    ¬ерсии 'login', начина€ с System V Unix, содержит ошибку переполнени€ буфера в обработке переменных, прошедших login prompt от клиента. Ќекоторые операционных системы типа Solaris/SunOS, HP-UX, AIX, IRIX и Unixware содержат у€звимые версии 'login'.

    ѕо сообщени€м, дл€ неидентифицированного клиента возможно эксплуатировать эти услови€ дл€ выполнени€ произвольного кода удаленно через сервисы доступа, использующие 'login'. Ёти услуги, а именно telnet и rlogin, часто устанавливаютс€ по умолчанию. ¬ерсии SSH также могут быть сконфигурирован, чтобы использовать 'login' дл€ установлени€ подлинности. ’осты с такой конфигурацией могут быть у€звимы дл€ управлени€ удаленно через SSH.

    ”спешна€ удаленна€ эксплуатаци€ предоставл€ть доступ уровн€ root анонимному хакеру, соединившемус€ с внешней сети. Ќа системах, где 'login' установлен, эта у€звимость может использоватьс€ местными нападаюшими дл€ подн€ти€ уровн€ своего доступа.

  8. Generic SNMP PROTOS Test Suite Attacks

    ћногочисленные у€звимости существуют в устройствах и сервисах, которые осуществл€ет SNMP протокол. ¬ сообщении от Computer Emergency Response Team (CERT) детализируетс€ существование многочисленных у€звимостей в различных SNMP выполнени€х. “ест, созданный дл€ проверки выполнени€ служб SNMP дл€ этих у€звимостей, был также доступен широкой публике в течение нескольких дней в окт€бре. ѕредполагаетс€, что злоумышленники загрузили этот испытательный набор, и теперь эксплуатируют эти у€звимости. ѕанические сообщени€ относительно существовани€ эксплоита, который единственным пакетом способен выводить из стро€ SNMP-маршрутизаторы, по€вились в различных источниках.

    “ест также теперь доступен, вы можете найти его и описание к нему на http://www.ee.oulu.fi/research/ouspg/protos/testing/c06/snmpv1/
    ƒл€ защиты: гарантируйте, что следующие порты фильтруютс€ по периметру внутренней сети: TCP 161, 162, 199, 391, 705, 1993; UDP 161, 162, 199, 391, 1993. —оздайте Access Control Lists (ACLs) дл€ устройств, которые поддерживают их. ќтключайте SNMP дл€ устройств, которые ACLs или межсетевые защиты не могут защитить (практика показывает, что некоторые продукты у€звимы, даже если SNMP отключен).
    ћодернизируйте немедленно до самых последних версий и установитее заплаты дл€ всех у€звимых программ. ћодернизируйте IDS-сигнатуры дл€ обнаружени€ аномальной де€тельности SNMP.

  9. Shaft DDoS Client To Handler Attack

    Shaft распростран€ет dDoS инструмент нападени€. ѕоложительное значение этой сигнатуры указывают возможность контрол€ трафика с удаленного клиента.

  10. PHP Post File Upload Buffer Overflow Attack

    PHP - широко распространенный €зык сценари€.

    PHP не выполн€ет надлежащей проверки границ в функци€х, св€занных с Form-based File Uploads в HTML (RFC1867). Ёти проблемы происход€т в функци€х, которые используютс€ дл€ декодировани€ MIME шифрованных файлов. —уществуют многочисленные проблемы переполнени€ стека, и off-by-one conditions.
 аждое из этих условий может быть пригодно дл€ использовани€ удаленным атакующим дл€ выполнени€ произвольного кода в системе жертвы, с привилеги€ми процессов web-сервера. ”спешна€ эксплуатаци€ может привести удаленного хакера к получению местного доступа к web-серверу жертвы.
”€звимость характерна дл€ серверов Apache, где PHP часто устанавливаетс€ по умолчанию.


или введите им€

CAPTCHA