RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS Resumo RES-012003

[CAIS, 27.03.2003, revisão 01]


Como é de conhecimento da comunidade atuante na área de segurança, o CERT/CC divulga a cada três meses o CERT Summary, fazendo um resumo sobre os alertas, vulnerabilidades e incidentes ocorridos nos últimos meses.

Tradicionalmente, o CAIS repassa os CERT Summaries, com uma sinopse onde faz uma análise comparativa entre os dados apresentados pelo CERT e as ocorrências registradas pelo CAIS no mesmo período.

A partir de 2003, o CAIS adotará uma abordagem diferente, continuará repassando os CERT Summaries e divulgará uma publicação em separado, o "CAIS Resumo", que segue a mesma filosofia do documento do CERT, porém com foco nos dados registrados pelo CAIS e a realidade das redes brasileiras.

Este primeiro Resumo do CAIS aborda os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no primeiro trimestre de 2003.

  1. Em janeiro houve a propagação do worm Slammer, ou Sapphire, que teve como alvo sistemas Microsoft Windows vulneráveis à falha no Resolution Service do Microsoft SQL Server 2000. Embora tal worm explorasse uma vulnerabilidade já conhecida, muitos sistemas foram afetados, demonstrando a fragilidade gerada por sistemas desatualizados ou instalações padrão, feitas sem o devido cuidado com as correções recomendadas pelos fabricantes.

  2. Em fevereiro, o destaque foi o término do horário de verão 2002/2003, no dia 16/02. Lembrando que a precisão dos relógios dos sistemas é de vital importância para o tratamento de incidentes de segurança, pois permite manter a consistência dos logs, sendo imprescindível nas investigações e identifição de responsáveis.

  3. No início de março foi revelada uma vulnerabilidade do tipo "buffer overflow" no Sendmail, que poderia permitir acesso privilegiado remotamente. O impacto maior deste alerta reside no fato de que grande parte dos servidores de e-mail utiliza o Sendmail como MTA.

  4. Também em março, foi identificada uma vulnerabilidade no Snort, um software de IDS disponível em domínio público e muito usado atualmente.

  5. Em março ainda, o CERT/CC divulgou um alerta abordando o aumento de atividade relacionada ao compartilhamento de recursos do Windows, o que envolve as portas 137/tcp e udp, 138/udp e 139/tcp, além da 445/tcp. O CAIS também registrou aumento de atividades de reconhecimento envolvendo as referidas portas, principalmente scans na porta 445.

  6. No dia 11 de março, foi identificada uma nova versão do worm CodeRed: o CodeRed.F. Tal variante é quase idêntica ao CodeRed II, exceto a capacidade de se propagar indefinidamente, lembrando que o CodeRed II estava programado para interromper sua propagação no final de 2002.

  7. No dia 17 de março, o CERT/CC divulgou o alerta CA-2003-09 tratando de vulnerabilidade no módulo WebDAV do IIS 5.0. No entanto, no dia 19 foi comprovado que a vulnerabilidade afetava a ntdll.dll, uma biblioteca vital no sistema Windows. Como o módulo WebDAV utiliza tal DLL, o IIS 5.0 foi diretamente afetado.

Os alertas divulgados ou repassados pelo CAIS, com maior destaque e repercussão nos primeiros três meses de 2003, são listados abaixo e estão disponíveis em:

http://www.rnp.br/cais/alertas/2003/

Alerta do CAIS ALR-18032003

Informações adicionais sobre a vulnerabilidade do IIS 5.0 (815021)

[CAIS, 18.03.2003]

CERT Advisory CA-2003-09

Vulnerabilidade no IIS 5.0

[Cert, 17.03.2003]

Alertas do CAIS ALR-11032003

Nova versão do worm CodeRed

[CAIS, 11.03.2003]

Cert Advisory CA-2003-08

Aumento de atividade relacionada ao compartilhamento de recursos do Windows

[Cert, 11.03.2003]

Alertas do CAIS ALR-10032003

Novo worm conhecido como "Deloder"

[CAIS, 10.03.2003]

ISS Alert

Snort RPC Preprocessing Vulnerability

[ISS, 03.03.2003]

Cert Advisory CA-2003-07

Remote Buffer Overflow in Sendmail

[Cert, 03.03.2003]

Cert Advisory CA-2003-05

Múltiplas Vulnerabilidades em Servidores Oracle

[Cert, 19.02.2003]

Alerta do CAIS ALR-06022003

Término do Horário de Verão 2002/2003

[CAIS, 06.02.2003]

Cert Advisory CA-2003-04

MS-SQL Worm (Slammer)

[Cert, 25.01.2003]

Cert Advisory CA-2003-02

Vulnerabilidade no CVS – Concurrent Versions System

[Cert, 22.01.2003]



A seguir, são listadas algumas entrevistas concedidas pelo CAIS, relacionadas aos temas destacados anteriormente:

"Repercussão do worm Slammer no Brasil"
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1679&pagenumber=0&id

"Fim do horário de verão e a importância do ajuste de servidores"
http://www.modulo.com.br/index.jsp?page=3&catid=6&objid=40&pagenumber=0&idiom=0

"Variante do Code Red explora falta de cultura em segurança"
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1785&pagenumber=0

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança, orientar os usuários, são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

O CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303