| Alertas do CAIS ALR-13092002Propagacao do Worm Slapper (Apache/mod_ssl Worm) [CAIS, 13.09.2002, revisão 01] Foi notificada nesta sexta-feira, 13 de Setembro de 2002, a propagação de um novo Worm que esta' atacando sistemas GNU/Linux que possuem versão vulnerável do mod_ssl. O Worm Slapper utiliza um exploit do mod_ssl que fornece shell root remoto no sistema atacado. Uma evidência do ataque é a presença do arquivo .bugtraq.c no diretorio /tmp. O worm utiliza a porta 2002 UDP para comunicação, o ataque é implementado pela porta 443 TCP. A existência da porta 2002 ativa no sistema deve ser investigada. Existem evidências que o worm instala uma ferramenta de DDoS no sistema. Maiores informações sobre a vulnerabilidade que está sendo explorada podem ser obtidas nos seguintes alertas:
http://www.cert.org/advisories/CA-2002-23.html
Correções disponíveis: Para corrigir o problema, deve-se atualizar a versão do OpenSSL para 0.9.6g http://www.openssl.org/source/ Identificador do CVE: CAN-2002-0656 (http://cve.mitre.org) Maiores informações sobre o Worm podem ser obtidas nos seguintes sites:
http://securityresponse.symantec.com/avcenter/venc/data/
Os administradores que possuem Snort podem capturar acessos utilizando a seguinte regra experimental: alert udp any any <-> $HTTP_SERVERS 2002 (msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor"; classtype: attempted-admin;) O CAIS recomenda aos administradores que atualizem seus sistemas com urgência.
| Contato com o Cais: +55 (19) 3787-3300 |