Бекдоры в eEye SecureIIS и eEye IRIS

Как утверждает Ланс Густо в своем письме в багтрак, в сниффере IRIS и Isapi фильтре для защиты IIS Web сервера SecureIIS содержается бекдоры, которые позволяют удаленному атакующему выполнить произвольные команды с системными привилегиями.

Как утверждает Ланс Густо в своем письме в багтрак, в сниффере IRIS и Isapi фильтре для защиты IIS Web сервера SecureIIS содержается бекдоры, которые позволяют удаленному атакующему выполнить произвольные команды с системными привилегиями.

В сетевом анализаторе IRIS 3.7 и более поздних версиях обнаружен бекдор, который октрывает шелл на заданном порту при получении специально обработанной UDP датаграммы (порт задается в одном из параметров в датаграмме).

В одной из лучших программ защиты Microsoft IIS Web севера SecureIIS версии 2.0 и выше обнаружен бекдор, который активируется специально обработанным HEAD запросом:

HEAD /<24 byte constant string>/PORT_ADDRESS.ASP HTTP/1.1
Где Port – порт, на котором открывается shell для удаленных команд, ADDRESS - приоритетный адрес для шелла, 0 – любой адрес.

Представители eeye через 30 минут после опубликования сообщения о бекдоре, провели аудит исходного кода обеих программ и не нашли в них встроенного бекдора. Предопожительно, бекдор был встроен в только варезные версии программ, утечку которых устроили сами спецы из Eeye.


или введите имя

CAPTCHA