Slapper Wurm

[e@sy]

Subject: ++ Host Europe ++ Slapper - Wurm attackiert Apache Web-Server mit SSL ++

ACHTUNG: Slapper - Wurm attackiert Apache Web-Server mit SSL

Sehr geehrte Kundin, sehr geehrter Kunde,

seit vergangenem Freitag bedroht der Wurm "Slapper" Apache Web-Server mit SSL. Der Wurm befaellt

Intel-basierte Maschinen mit Linux-Distributionen von Red Hat, Suse, Mandrake, Slackware oder Debian.

Damit der Wurm sein Unwesen treiben kann, muss mod_ssl im Apache aktiviert sein (welches auf das

OpenSSL-Paket zurueckgreift). Betroffen sind alle Server mit OpenSSL in der Version Version 0.96d oder

aelter. Ebenfalls betroffen ist OpenSSL pre-release Version 0.9.7-beta2, fuer welches ein sichereres

Upgrade 0.9.7-beta3 existiert:

http://www.openssl.org/news/patch_20020730_0_9_7.txt

Nach Angaben von F-Secure hat der Wurm innerhalb der ersten 40 Stunden seiner Verbreitung mehr als

6000 Server infiziert.

Der Wurm besitzt eine ausserordentliche aussergewoehnliche Peer-to-Peer-Faehigkeit, was dem

Angreifer eine gemeinschaftliche Nutzung der befallenen Server ermoeglicht.

F-Secure vermutet, dass ein geballter Distributed Denial-of-Service-Angriff (DDoS) gestartet werden soll.

Host Europe empfiehlt Ihnen, Ihren Server umgehend auf vorhandene Sicherheitsloecher zu pruefen. Sind

o.a. unsichere Versionen auf Ihrem System installiert, so empfehlen wir Ihnen dringend auf die sichere

OpenSSL Versionen 0.9.6g umzusteigen. Sollte dies nicht moeglich sein, so stellt die Version 0.9.6e

eine Alternative dar.

Weitere Informationen zum Thema "Slapper" haben wir im Netz unter folgenden URLs fuer Sie ermittelt:

http://www.f-secure.com/slapper

http://www.cert.org/advisories/CA-2002-27.html

Beachten Sie bitte, dass in aelteren Apache Versionen (<= 1.3.23) weitere Schwachstellen vorhanden

sein koennen:

http://www.cert.org/advisories/CA-2002-17.html

Wir empfehlen Version 1.3.26.

Weitere Informationen zu Thema:

Wie funktioniert der Wurm?

Ausgenutzt wird ein Buffer Overflow im SSLv2 Handshake Ablauf im OpenSSL Modul (mod_ssl) fuer

Apache Web-Server, der u.a. im Advisory CA-2002-23 vom CERT/CC beschrieben worden ist.

Vorgehensweise des Wurms:

- zuerst erfolgt ein Scan auf Port tcp/80 mittels eines ungueltigen

HTTP Requests: "GET /mod_ssl:error:HTTP-request HTTP/1.0"

- Wird ein Apache Server erkannt, sendet der Wurm Exploit-Code an

Port tcp/443, um die Schwachstelle im mod_ssl auszunutzen.

- Nach einem erfolgreichen Angriff wird ein Programm zum

kompromittierten Rechner kopiert, als /tmp/.bugtraq.c abgelegt und

danach mit gcc uebersetzt (/tmp/.bugtraq).

- Danach beginnt das kompromittierte System nach weiteren

verletzlichen Systemen zu scannen und kann ueber Kommandos an Port

2002/udp fuer verteilte Denial of Service Angriffe misbraucht werden.

Wie erkenne ich, ob mein Server infiziert wurde?

a) Wurde Ihr System kompromittiert, so sind folgende Files vorhanden:

/tmp/.bugtraq.c

/tmp/.bugtraq

Bitte beachten Sie, dass die File - Bezeichung in abgeleiteten Wurmprogrammen veraendert werden

koennen.

ueberpruefen Sie Ihre Logfiles auf Anfragen zum Zielport tcp/80 und Verbindungen zum Zielport tcp/443.

c) sind die Ports 2002/udp bzw. UDP Datagramme mit Ziel und Quellport 2002/udp geoeffnet?

d) Hinweise auf einen Angriffsversuch bietet die Zeichenkette

GET /mod_ssl:error:HTTP-request HTTP/1.0

in den Apache Logs und weiterhin Log-Zeilen:

[error] SSL handshake failed: HTTP spoken on HTTPS port; trying

to send HTML error page (OpenSSL library error follows)

[error] OpenSSL: error:1407609C:SSL

routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking

HTTP to HTTPS port!?]

Allerdings laesst sich aus den Log-Zeilen nicht entnehmen, ob der Angriff erfolgreich gewesen ist.

Host Europe GmbH

[debitux]

oje