Бекдоры в eEye SecureIIS и eEye IRIS
Как утверждает Ланс Густо в своем письме в багтрак, в сниффере IRIS и Isapi фильтре для защиты IIS Web сервера SecureIIS содержается бекдоры, которые позволяют удаленному атакующему выполнить произвольные команды с системными привилегиями.
В сетевом анализаторе IRIS 3.7 и более поздних версиях обнаружен бекдор, который октрывает шелл на заданном порту при получении специально обработанной UDP датаграммы (порт задается в одном из параметров в датаграмме).
В одной из лучших программ защиты Microsoft IIS Web севера SecureIIS версии 2.0 и выше обнаружен бекдор, который активируется специально обработанным HEAD запросом:
HEAD /<24 byte constant string>/PORT_ADDRESS.ASP HTTP/1.1Где Port – порт, на котором открывается shell для удаленных команд, ADDRESS - приоритетный адрес для шелла, 0 – любой адрес.
Представители eeye через 30 минут после опубликования сообщения о бекдоре, провели аудит исходного кода обеих программ и не нашли в них встроенного бекдора. Предопожительно, бекдор был встроен в только варезные версии программ, утечку которых устроили сами спецы из Eeye.
Большой брат следит за вами, но мы знаем, как остановить его