16/09/02

NOTICIAS

"Slapper" se difunde rápidamente entre servidores Apache bajo Linux vulnerables


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

F-Secure Corporation alerta de la rápida difusión de este gusano con capacidades "backdoor" que permiten a un intruso efectuar ataques de negación de servicio, el robo de datos o la ejecución de código arbitrario

Desde su detección en Europa del Este el pasado día 13, el gusano Slapper se ha difundido rápidamente a más de 6.000 máquinas de todo el mundo a través de equipos Linux gracias a la explotación de una conocida vulnerabilidad detectada el mes de agosto en las librerías OpenSSL, según informa el fabricante de soluciones de seguridad, F-Secure Corporation.

Este gusano ataca servidores web Apache bajo Linux con OpenSSL activado. Algunas estimaciones cifran en más de un millón los sistemas bajo estas condiciones, de los cuales muchos aún no han sido parcheados contra la vulnerabilidad, por lo cual, están expuestos a sufrir una infección del gusano Slapper.

Cuando Slapper infecta un equipo, este comienza a difundirse a nuevos sistemas. Además, contiene código para crear un red de ataque peer-to-peer, donde los equipos infectados puedan recibir órdenes de manera remota para lanzar una amplia variedad de ataques DDoS. 

El entorno de trabajo de este gusano son equipos Intel que ejecuten el sistema operativo de código abierto Linux de los fabricantes Red Hat, SuSE, Mandrake, Slackware o Debian. Además, deben estar activos el software Apache y OpenSSL versión 0.96d o anterior. 

Slapper es muy similar al gusano Scalper, detectado en Junio de este año. La teoría básica de operación es muy similar a la del virus Code Red, que sirviéndose de un agujero de seguridad en el software IIS de Microsoft, atacó más de 350.000 sites en julio del pasado año. 

Slapper.A, la primera variante detectada, infecta el sistema creando una copia uuencoded de si mismo en la carpeta /tmp/.uubugtraq. Codifica el archivo en /tmp/.bugtraq.c y utiliza el compilador GCC para producir una copia ejecutable de si mismo en el directorio temporal /tmp/.bugtraq, desde donde procede a su ejecución. 

En este punto, el gusano comienza a escanear un grupo predefinido de redes Clase A en busca de equipos vulnerables conectándose al servidor httpd (puerto 80). Si el gusano puede conectarse, chequeará el contenido de la cabecera "Server:" desde la respuesta. Si la cabecera contiene la cadena "Apache", el gusano intentará conectarse al servidor SSL (puerto 443), e intentará infectar el objetivo utilizando la vulnerabilidad en OpenSSL. 

El gusano también contiene un backdoor, similar al detectado en el gusano Scalper, que escucha y controla de manera remota el puerto UDP 2002. Este backdoor posee la capacidad descargar y ejecutar código arbitrario en los host infectados además de llevar a cabo una gran variedad de ataques de negación de servicio. 

Para eliminar este gusano, F-Secure indica que debe eliminarse el proceso de Scalper en el sistema de nombre ".bugtraq" así como los archivos creados en el directorio temporal antes descritos. Por otra parte, debe desconectarse el servidor web Apache y parchear la vulnerabilidad en OpenSSL con el fin de evitar futuras reinfecciones.


Copyright © VIRUSPROT.COM