RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS Resumo RES-022003

Alertas, vulnerabilidades e incidentes de segurança

[CAIS, 11.06.2003, revisão 01]


Como é de conhecimento da comunidade atuante na área de segurança, o CERT/CC divulga a cada três meses o CERT Summary, fazendo um resumo sobre os alertas, vulnerabilidades e incidentes ocorridos nos últimos meses.

Analogamente ao trabalho desenvolvido pelo CERT, O CAIS divulga uma publicação em separado, o "CAIS Resumo", que segue a mesma filosofia, porém com foco nos dados registrados pelo CAIS e na realidade das redes brasileiras.

Neste segundo CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no segundo trimestre de 2003.

Destaques

1. No dia 29 de março, o CERT/CC divulgou o alerta CA-2003-12 tratando de vulnerabilidade remota no Sendmail. No mesmo dia o CAIS reportou um alerta sobre esta séria vulnerabilidade, uma vez que o Sendmail é o MTA de maior uso na Internet e o impacto da exploração poderia ser catastrófico.

2. No dia 2 de abril, o CAIS divulgou o alerta ALR-02042003 tratando da crescente atividade de fraudes em Internet Banking. Este tipo de fraude bancária tem se expandido e continua sendo uma séria ameaça para os usuários destes serviços.

3. No dia 17 de abril, o CERT/CC divulgou o alerta CA-2003-13 tratando de vulnerabilidades no Snort que é uma das ferramentas de detecção de intrusão (IDS) de maior uso hoje na Internet. Uma das vulnerabilidades permitia comprometer o sistema sem que o atacante conhecesse o IP do sistema IDS. Foi o segundo alerta do ano relacionado com a ferramenta Snort.

4. No dia 14 de maio, o CAIS divulgou alerta relacionado com a propagação do worm "Fizzer". A propagação deste worm era realizada através do aplicativo P2P Kazaa ou por e-mail. As principais características do worm incluiam: possuir ferramentas de negação de serviço (DoS) e de captura de dados digitados ("keylogger"), assim como o envio massivo de mensagens ("mass-mailing").

5. Ainda no dia 14 de maio, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 17300/tcp. A constatação e análise desta atividade foi possível graças ao mecanismo de monitoração de acessos a portas mantido pelo CAIS. Foi possível identificar que tais acessos estavam diretamente relacionados com a atividade de um meta-trojan denominado "Milkit".

6. No dia 4 de junho, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 901/tcp. A constatação e análise desta atividade foi possível graças ao mecanismo de monitoramento de acessos a portas mantido pelo CAIS. São duas as possíveis causas desta atividade: o desenvolvimento de uma nova versão do trojan "Net.Devil" ou uma forma alternativa de se identificar sistemas que possuem Samba já que a porta 901 é utilizada pelo Swat (Samba Web Admin Tool) que é a ferramenta de administração web do Samba.

7. No dia 5 de junho, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 161 – SNMP. A constatação e análise desta atividade foi possível graças ao mecanismo de monitoramento de acessos a portas mantido pelo CAIS. As portas mencionadas são normalmente utilizadas pelo SNMP, Simple Network Management Protocol, protocolo amplamente usado no gerenciamento de redes TCP/IP. Sistemas SNMP vulneráveis são potenciais alvos de ataques com resultados sérios em razão da sua larga utilização em equipamentos estratégicos para a infra-estrutura de redes.

8. No dia 6 de junho, o CAIS divulgou alerta relacionado com a propagação do worm "W32.BugBear.B". A nova variante do worm "BugBear" instalava uma ferramenta de captura de dados digitados (keylogger) e deixava um backdoor na máquina infectada (porta 1080) que podia ser utilizado para acesso posterior. O CAIS criou um ambiente de análise em laboratório a fim de identificar as características do worm.

Alertas

Os alertas divulgados ou repassados pelo CAIS, com maior destaque e repercussão nos últimos três meses de 2003, são listados abaixo e estão disponiveís em: http://www.rnp.br/cais/alertas/2003/

Alerta do CAIS ALR-06062003
Propagação do worm W32.BugBear.B
[CAIS, 06.06.2003]

Alerta do CAIS ALR-05062003
Aumento de atividade na porta 161 – SNMP
[CAIS, 05.06.2003]

Alerta do CAIS ALR-04062003
Aumento de atividade na porta 901/tcp
[CAIS, 04.06.2003]

Microsoft Security Bulletin MS03-020
Patch Acumulativo para o Internet Explorer (818529)
[Microsoft, 04.06.2003]

CERT Summary CS-2003-02
[Cert, 03.06.2003]

Microsoft Security Bulletin MS03-019
Vulnerabilidade no ISAPI Extension do Windows Media Services (817772)
[Microsoft, 28.05.2003]

Microsoft Security Bulletin MS03-018
Patch Acumulativo para o IIS (811114)
[Microsoft, 28.05.2003]

Alerta do CAIS ALR-14052003
Aumento de atividade na porta 17300/tcp
[CAIS, 14.05.2003]

AUSCERT AL-2003.07
Propagação do Worm Fizzer
[Auscert, 13.05.2003]

Microsoft Security Bulletin MS03-017
Vulnerabilidade no Windows Media Player (817787)
[Microsoft, 07.05.2003]

Microsoft Security Bulletin MS03-016
Patch Acumulativo para o Microsoft BizTalk Server (815206)
[Microsoft, 30.04.2003]

Alerta do CAIS ALR-25042003
Exploração da Vulnerabilidade do WebDAV (IIS 5.0)
[CAIS, 25.04.2003]

Microsoft Security Bulletin MS03-015
Patch Acumulativo para o Internet Explorer (813489)
[Microsoft, 23.04.2003]

Microsoft Security Bulletin MS03-014
Patch Acumulativo para o Outlook Express (330994)
[Microsoft, 23.04.2003]

CERT Advisory CA-2003-13
Múltiplas vulnerabilidades no Snort
[Cert, 17.04.2003]

Microsoft Security Bulletin MS03-013
Vulnerabilidade no Kernel do Windows (811493)
[Microsoft, 16.04.2003]

Microsoft Security Bulletin MS03-012
Vulnerabilidade no Microsoft Winsock Proxy e ISA Firewall (331066)
[Microsoft, 09.04.2003]

Microsoft Security Bulletin MS03-011
Vulnerabilidade no Microsoft virtual machine (816093)
[Microsoft, 09.04.2003]

Advisories/Seti@home
Vulnerabilidade no aplicativo SETI@home
[Seti@home, 07.04.2003]

Security Advisory DDI-1013
Nova vulnerabilidade no SAMBA
[Digital Defense, 07.04.2003]

Alerta do CAIS ALR-02042003
Fraudes em Internet Banking
[CAIS, 02.04.2003]

Cert Advisory CA-2003-12
Remote Buffer Overflow in Sendmail – Nova vulnerabilidade
[Cert, 29.03.2003]

CAIS Resumo RES-012003
[CAIS, 27.03.2003]

Microsoft Security Bulletin MS03-010
Vulnerabilidade no Microsoft RPC Endpoint Mapper (331953)
[Microsoft, 26.03.2003]

Cert Advisory CA-2003-11
Multiple Vulnerabilities in Lotus Notes and Domino
[Cert, 26.03.2003]

CERT Summary CS-2003-01
[Cert, 21.03.2003]

CERT Advisory CA-2003-10
Vulnerabilidade na biblioteca XDR
[Cert, 19.03.2003]

Microsoft Security Bulletin MS03-009
Vulnerabilidade existente na implementação da detecção de intrusão do ISA
[Microsoft, 19.03.2003]

Microsoft Security Bulletin MS03-008
Vulnerabilidade existente na implementação do Windows Script Engine
[Microsoft, 19.03.2003]

CAIS NA Mídia

A seguir, são listadas algumas reportagens (artigos, entrevistas concedidas pela equipe do CAIS, etc), relacionadas aos temas destacados anteriormente:

"Técnicos do CAIS dão curso de auditoria durante WSEG"
[Notícias RNP, 02.06.2003]

"CSIRTs no Brasil: disseminadores da cultura de segurança"
[Módulo Security Magazine, 26.05.2003]

"Técnicos da RNP vencem desafio do SANS"
[Notícias RNP, 20.05.2003]

"Spam: quanto se perde e como evitar? – Parte1"
[Módulo Security Magazine, 28.04.2003]

"CAIS/RNP lança documento trimestral sobre segurança"
[Módulo Security Magazine, 27.03.2003]

Notas

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança, orientar os usuários, são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

O CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303