Десятка самых "популярных" угроз, исходящих из Интернет (данные за первый квартал 2002 г.)

Десятка самых "популярных" угроз, исходящих из Интернет (данные за первый квартал 2002 г.)

1. Code Red - MS Indexing Server/Indexing Services ISAPI Buffer Overflow Attack
   Code Red - резидентный червь, который появился на свет летом 2001. С тех пор он постепенно трансформировался в червя Code Red II, который использет брешь в защите MS IIS 4.0-5.0. Он также является одним из векторов нападения, используемых в черве Nimda. С тех пор Code Red ежемесячно инфицирует и переинфицирует незащищенные системы во всем мире. За семь месяцев существования Code Red нападение стало самым распространенным типом нападения в Интернет.
   
   

2. Nimda - Microsoft IIS 4.0/5.0 Extended UNICODE   Directory Traversal Attack
   Nimda - мультивекторный червь, который стремительно распространяется с 18 сентября 2001. С тех пор, Nimbda постоянно переинфицирует незащищенные системы. За 6 месяцев своего существования случайные атаки с зараженных машин стали одним из наиболее обыденных типов нападений, которые мы можем встретить в Интернет.
   
   
3. Matt Wright Formmail attack
   Formmail стал любимым инструментом спамеров. Formmail позволяет посылать по электронной почте подчиненные формы. Если форма попадает на незащищенный компьютер, то злоумышленник способен отослать spam просто включением целого списка адресов электронной почты в HTTP запрос Formmail. Это делает прослеживание происхождения спама трудным делом, так как IP-адрес «автора» может сохраниться только в логах сайта.
   FormMail - широко используемый web-путь проникновения электронной почты, позволяющий form-based вход и рассылку по указанным пользователям. Когда форма представлена, команды будут выполнены на хосте, с привилегиями процесса web-сервера. Это может позволить хакеру получить локальный доступ к хосту.
   
   
4. WU-FTPD File Globbing Heap Corruption Attack
   Wu-ftpd – ftp сервер, основанный на BSD ftpd и поддерживаемый Вашингтонским Университетом. Wu-ftpd позволяет клиентам организовать файлы для ftp действий, основанных на "file globbing"-шаблоне. File globbing также используется различными оболочками. File globbing, включенный в Wu-ftpd, содержит уязвимость неккоректного заголовка, что позволяет нападающему выполнить произвольный код на удаленном сервере.
   
   
   
5. SSH CRC32 Compensation Detection Attack
   
   SSH - зашифрованный протокол удаленного доступа. Многие системы во всем мире используют SSH или коды, основанные на SSH в разнообразных коммерческих приложениях. Ошибка целочисленного переполнения в коде CRC-32 позволяет удаленному атакующему записать значения по произвольному местоположению в памяти. Эта уязвимость была обнаружена больше года назад - 8 февраля 2001; однако, даже спустя год, она остается бичом Cisco и различных систем Linux. Это – самая популярная по используемости уязвимость таких систем.
   
   
6. Generic CDE dtspcd Buffer Overflow Attack
   
   SecurityFocus определил, что хакеры активно используют Common Desktop Environment (CDE) dtspcd Buffer Overflow в операционных системах Sun Solaris. Уязвимость переполнения буфера в одном из компонентов CDE, dtspcd, позволяет удаленному атакующему получить привилегии администратора на машине жертвы. Код эксплоита устанавливает временный backdoor в порту 1524. По данным SecurityFocus, хакеры заменяли "/bin/login" файл трояном, содержащим backdoor. Кроме того, SecurityFocus получили код CDE dtspcd Buffer Overflow эксплоита, который до сих пор активно используют хакеры.
   По данной уязвимости SecurityFocus рекомендует администраторам блокировать порты 6112 и 1524 в межсетевой защите. Кроме того, администраторы должны установить заплаты, уместные в их операционной системе.
   
   
7. Generic System V Derived Login Buffer Overflow Attack
   'login' - программа, используемая в системах Unix для подтверждения аутентичности пользователей с их username и паролем.
   
   Версии 'login', начиная с System V Unix, содержит ошибку переполнения буфера в обработке переменных, прошедших login prompt от клиента. Некоторые операционных системы типа Solaris/SunOS, HP-UX, AIX, IRIX и Unixware содержат уязвимые версии 'login'.
   
   По сообщениям, для неидентифицированного клиента возможно эксплуатировать эти условия для выполнения произвольного кода удаленно через сервисы доступа, использующие 'login'. Эти услуги, а именно telnet и rlogin, часто устанавливаются по умолчанию. Версии SSH также могут быть сконфигурирован, чтобы использовать 'login' для установления подлинности. Хосты с такой конфигурацией могут быть уязвимы для управления удаленно через SSH.
   
   Успешная удаленная эксплуатация предоставлять доступ уровня root анонимному хакеру, соединившемуся с внешней сети. На системах, где 'login' установлен, эта уязвимость может использоваться местными нападаюшими для поднятия уровня своего доступа.
   
   
8. Generic SNMP PROTOS Test Suite Attacks
   
   Многочисленные уязвимости существуют в устройствах и сервисах, которые осуществляет SNMP протокол. В сообщении от Computer Emergency Response Team (CERT) детализируется существование многочисленных уязвимостей в различных SNMP выполнениях. Тест, созданный для проверки выполнения служб SNMP для этих уязвимостей, был также доступен широкой публике в течение нескольких дней в октябре. Предполагается, что злоумышленники загрузили этот испытательный набор, и теперь эксплуатируют эти уязвимости. Панические сообщения относительно существования эксплоита, который единственным пакетом способен выводить из строя SNMP-маршрутизаторы, появились в различных источниках.
   
   Тест также теперь доступен, вы можете найти его и описание к нему на http://www.ee.oulu.fi/research/ouspg/protos/testing/c06/snmpv1/
   Для защиты: гарантируйте, что следующие порты фильтруются по периметру внутренней сети: TCP 161, 162, 199, 391, 705, 1993; UDP 161, 162, 199, 391, 1993. Создайте Access Control Lists (ACLs) для устройств, которые поддерживают их. Отключайте SNMP для устройств, которые ACLs или межсетевые защиты не могут защитить (практика показывает, что некоторые продукты уязвимы, даже если SNMP отключен).
   Модернизируйте немедленно до самых последних версий и установитее заплаты для всех уязвимых программ. Модернизируйте IDS-сигнатуры для обнаружения аномальной деятельности SNMP.
   
   
9. Shaft DDoS Client To Handler Attack
   
   Shaft распространяет dDoS инструмент нападения. Положительное значение этой сигнатуры указывают возможность контроля трафика с удаленного клиента.
   
   
10. PHP Post File Upload Buffer Overflow Attack
    
    PHP - широко распространенный язык сценария.
    
    PHP не выполняет надлежащей проверки границ в функциях, связанных с Form-based File Uploads в HTML (RFC1867). Эти проблемы происходят в функциях, которые используются для декодирования MIME шифрованных файлов. Существуют многочисленные проблемы переполнения стека, и off-by-one conditions.
    

Каждое из этих условий может быть пригодно для использования удаленным атакующим для выполнения произвольного кода в системе жертвы, с привилегиями процессов web-сервера. Успешная эксплуатация может привести удаленного хакера к получению местного доступа к web-серверу жертвы.
Уязвимость характерна для серверов Apache, где PHP часто устанавливается по умолчанию.