Veröffentlicht 18. September 200223 j Subject: ++ Host Europe ++ Slapper - Wurm attackiert Apache Web-Server mit SSL ++ ACHTUNG: Slapper - Wurm attackiert Apache Web-Server mit SSL Sehr geehrte Kundin, sehr geehrter Kunde, seit vergangenem Freitag bedroht der Wurm "Slapper" Apache Web-Server mit SSL. Der Wurm befaellt Intel-basierte Maschinen mit Linux-Distributionen von Red Hat, Suse, Mandrake, Slackware oder Debian. Damit der Wurm sein Unwesen treiben kann, muss mod_ssl im Apache aktiviert sein (welches auf das OpenSSL-Paket zurueckgreift). Betroffen sind alle Server mit OpenSSL in der Version Version 0.96d oder aelter. Ebenfalls betroffen ist OpenSSL pre-release Version 0.9.7-beta2, fuer welches ein sichereres Upgrade 0.9.7-beta3 existiert: http://www.openssl.org/news/patch_20020730_0_9_7.txt Nach Angaben von F-Secure hat der Wurm innerhalb der ersten 40 Stunden seiner Verbreitung mehr als 6000 Server infiziert. Der Wurm besitzt eine ausserordentliche aussergewoehnliche Peer-to-Peer-Faehigkeit, was dem Angreifer eine gemeinschaftliche Nutzung der befallenen Server ermoeglicht. F-Secure vermutet, dass ein geballter Distributed Denial-of-Service-Angriff (DDoS) gestartet werden soll. Host Europe empfiehlt Ihnen, Ihren Server umgehend auf vorhandene Sicherheitsloecher zu pruefen. Sind o.a. unsichere Versionen auf Ihrem System installiert, so empfehlen wir Ihnen dringend auf die sichere OpenSSL Versionen 0.9.6g umzusteigen. Sollte dies nicht moeglich sein, so stellt die Version 0.9.6e eine Alternative dar. Weitere Informationen zum Thema "Slapper" haben wir im Netz unter folgenden URLs fuer Sie ermittelt: http://www.f-secure.com/slapper http://www.cert.org/advisories/CA-2002-27.html Beachten Sie bitte, dass in aelteren Apache Versionen (<= 1.3.23) weitere Schwachstellen vorhanden sein koennen: http://www.cert.org/advisories/CA-2002-17.html Wir empfehlen Version 1.3.26. Weitere Informationen zu Thema: Wie funktioniert der Wurm? Ausgenutzt wird ein Buffer Overflow im SSLv2 Handshake Ablauf im OpenSSL Modul (mod_ssl) fuer Apache Web-Server, der u.a. im Advisory CA-2002-23 vom CERT/CC beschrieben worden ist. Vorgehensweise des Wurms: - zuerst erfolgt ein Scan auf Port tcp/80 mittels eines ungueltigen HTTP Requests: "GET /mod_ssl:error:HTTP-request HTTP/1.0" - Wird ein Apache Server erkannt, sendet der Wurm Exploit-Code an Port tcp/443, um die Schwachstelle im mod_ssl auszunutzen. - Nach einem erfolgreichen Angriff wird ein Programm zum kompromittierten Rechner kopiert, als /tmp/.bugtraq.c abgelegt und danach mit gcc uebersetzt (/tmp/.bugtraq). - Danach beginnt das kompromittierte System nach weiteren verletzlichen Systemen zu scannen und kann ueber Kommandos an Port 2002/udp fuer verteilte Denial of Service Angriffe misbraucht werden. Wie erkenne ich, ob mein Server infiziert wurde? a) Wurde Ihr System kompromittiert, so sind folgende Files vorhanden: /tmp/.bugtraq.c /tmp/.bugtraq Bitte beachten Sie, dass die File - Bezeichung in abgeleiteten Wurmprogrammen veraendert werden koennen. ueberpruefen Sie Ihre Logfiles auf Anfragen zum Zielport tcp/80 und Verbindungen zum Zielport tcp/443. c) sind die Ports 2002/udp bzw. UDP Datagramme mit Ziel und Quellport 2002/udp geoeffnet? d) Hinweise auf einen Angriffsversuch bietet die Zeichenkette GET /mod_ssl:error:HTTP-request HTTP/1.0 in den Apache Logs und weiterhin Log-Zeilen: [error] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows) [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?] Allerdings laesst sich aus den Log-Zeilen nicht entnehmen, ob der Angriff erfolgreich gewesen ist. Host Europe GmbH
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.