Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2002 > CERT-FI varoitus 62/2002

CERT-FI varoitus 62/2002

14.9.2002

"Slapper" mato-ohjelma Linux-pohjaisissa Apache WWW-palvelimissa

13.9.2002 illalla havaittiin leviämässä uusi OpenSSL-kirjastojen haavoittuvuuksia (katso CERT-FI -varoitus 45/2002) hyödyntävä mato-ohjelma "Slapper". Ohjelma leviää Linux-käyttöjärjestelmää käyttävissä Apache WWW-palvelimissa, joissa on aktivoitu SSLv2 -toiminne ja käytettävä OpenSSL -kirjasto on 0.9.6d tai vanhempi.

Madon skannausyritys voi näkyä WWW-palvelimen lokitiedoissa seuraavanlaisena HTTP GET -pyyntönä:

GET /mod_ssl:error:HTTP-request HTTP/1.0

Tämän pyynnön näkyminen lokitiedoissa ei tarkoita järjestelmän saastumista, lähinnä ilmaisee pyynnön lähettäneen järjestelmän olevan todennäköisesti "Slapper"-madon vaikutuspiirissä.

"Slapper"-madon koodi on nähty löytyvän saastuneista järjestelmistä seuraavista tiedostoista:

/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq

Jos tiedostot löytyvät WWW-palvelimen levyjärjestelmästä, on palvelin erittäin todennäköisesti saanut Slapper-tartunnan.

Slapper-matoon kuuluu peer-to-peer -vertaisverkko, joka käyttää UDP-porttia 2002 kommunikointiin. Vertaisverkon kautta voidaan käynnistää palvelunestohyökkäyksiä sekä suorittaa koneessa komentoja hyökkäjän toimesta.

CERT-FI pyytää raportoimaan havainnoista saastuneista järjestelmistä, mieluiten sähköpostilla osoitteeseen cert@ficora.fi.

VAROITUKSEN KOHDERYHMÄ:

Intel x86 -arkkitehtuuripohjaiset Linux WWW-palvelimet, joissa on käytössä SSLv2 -toiminne ja OpenSSL-kirjaston versio on 0.9.6d tai vanhempi.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Päivitä OpenSSL-kirjasto vähintään versioon 0.9.6e. Uusin saatavilla oleva OpenSSL-kirjastoversio on 0.9.6g.
  • Poista SSLv2 -kättely käytöstä. Eräs menetelmä on muuttaa Apache-konfiguraatiotiedostosta SSLChiperSuite -määrittelyrivillä

    +SSLv2 muotoon !SSLv2.

    SSLv2 -kättelyn poisto ei välttämättä suojaa kaikilta SSL-kirjaston haavoittuvuuksilta.

  • Palvelunestohyökkäysmodulin kommunikoinnin voi estää rajoittamalla liikenteen UDP-portista/porttiin 2002.

    • TOIMINTAOHJEISTUS JOS JÄRJESTELMÄ ON SAANUT TARTUNNAN

    Jos järjestelmä on saanut Slapper-tartunnan, itse madon voi poistaa poistamalla seuraavat tiedostot

    /tmp/.uubugtraq
    /tmp/.bugtraq.c
    /tmp/.bugtraq

    sekä käynnistämällä tietokoneen uudestaan. Perusmuodossaan leviävä mato ei sisällä mitään käyttöjärjestelmän käynnistyksen yhteydessä ajettavaa koodia.

    HUOMIO: On mahdollista, että madon vertaisverkkotoiminnon kautta saastuneessa järjestelmässä on ajettu komentoja. Perusteellinen järjestelmän tarkistus on paikallaan.

    LISÄTIETOA:

    http://www.cert.org/advisories/CA-2002-27.html
    http://isc.incidents.org/analysis.html?id=167
    http://www.f-secure.fi/v-descs/slapper.shtml
    http://www.f-secure.com/slapper/

    PÄIVITYSHISTORIA:

    14.09.2002: Julkaistu
    Sivua päivitetty 11.01.2007   Tulostusversio Tulostusversio