Code Red tok knekken på EDB

Code Red-ormen er fortsatt ute og herjer. Fredag slo den til hos EDB Fundator, og frustrerte ansatte venter på oppryddingen.

EDB Fundator i Nydalen i Oslo er hardt rammet av Code Red. Fundator hadde problemer hele helgen etter at viruset slo ut fredag i forrige uke. Ingen av serverene var patchet, forteller en irritert kilde i selskapet til digi.no.

Kilden er oppgitt over manglende lapping av sikkerhetshull, etter å ha måttet vente på oppryddingen etter ormens herjinger.

På selskapets nettsted reklameres det med at "Vi er en total-leverandør av programvareløsninger samt konsulent- og driftstjenester i det norske og nordiske markedet". Likevel tok ormen innersvingen på den interne driften.

Når vi ringer sjef for selskapets interne IT-tjeneste, Bernt Jensrud, står han midt oppe i oppryddingen.

- Vi jobber med det, og det er visse tjenester som går litt dårligere enn andre. Vi må gå grundig til verks så vi vet at alle maskinene med IIS installert er sikret, sier han til digi.no.

Ormen, som er andre versjon av Code Red - kalt Code Red II - benytter seg av en kjent svakhet i Microsoft IIS-tjeneste, og legger igjen en bakdør som kan gi crackere alle privilegier på en maskin. Den skal være svært forskjellig fra versjon nummer én, og sikkerhetsekspertene strides om hvorvidt de har samme opphav, selv om de utnytter samme hull.

Sikkerhetsoppdateringer og diverse andre verktøy for fjerning av ormen har vært tilgjengelig en god stund, siden Code Red II ble oppdaget tidlig i august. Selve sikkerhetshullet, en råtten buffer, ble oppdaget av eEye allerede i juni.


- Det vil alltid være sånn i en bedrift at visse maskiner har en ikke oversikt over. Vi har mye bærbart, og problemet er at det plutselig kommer maskiner utenfra inn i miljøet, enten de er bærbare eller de kobler seg til. Vi får se etter denne hendelsen hvordan vi skal håndtere slike saker. Det vil alltid være opp til brukerne å sikre seg, hvis ikke de følger rutinene så har vi tapt uansett, sier Jensrud.


Han antyder at Fundator har sluppet billig unna, i og med at Code Red II har relativt begrensede skadevirkninger.

- Organisasjonene må fokusere veldig på virus. De virusene vi ser idag er "halvsnille", men det er bare et tidsspørsmål før det kommer noe som er verre, understreker han.

Etter det digi.no forstår var det en EDB-medarbeider i Trondheim som hadde satt en infisert ekstern webserver med IIS installert inn på primærnettet.

Nettet skal ha stoppet fullstendig opp iløpet av fredagen, for så å bli bedre utover helgen. Men mandag morgen, da folk kom på jobb og startet de infiserte maskinene igjen, brøt det hele sammen.

Til toppen