Populært nettverktøy kompromittert

Nettstedet hvor det åpen kildekode-baserte nettovervåkingsverktøyet tcpdump tilbys, ble nylig utsatt for et vellykket angrep hvor den nyeste utgaven av programvaren ble byttet ut med en versjon som inneholder en trojansk hest.

tcpdump er et populært verktøy for alle former for Unix-baserte operativsystem, inkludert Linux og BSD, som gjør det mulig for systemadministratorer å overvåke dataene som sendes over nettverket. Men nå er overvåkingsverktøyet blitt en trussel, i hvert fall midlertidig.

Den trojanske hesten som var blitt integrert i Libpcap-biblioteket som tcpdump benytter, gjør det ifølge News.com mulig for angriperen å sende og eksekvere enhver kommando på maskiner som inneholder den modifiserte verktøyet.

News.com skriver den infiserte utgaven av tcpdump lå på serveren i mer enn to dager. I løpet av denne tiden har mange trolig lastet ned den infiserte utgaven, både fra nettstedet og fra speilinger på andre servere.

Trojaneren ble oppdaget nettopp fordi det var i et bibliotek at den nye koden ble puttet inn. Da et medlem av Houston Linux Users Group skulle installere Snort, et annet program som også benytter Libpcap-biblioteket, oppdaget han at programvarepakken hadde feil digital signatur. Dette er en form for fingeravtrykk som gjennom en test kan avsløre om en fil er blitt klusset med.

Dessverre tok det noe tid fra dette ble oppdaget til Michael Richardson, webmaster for webserveren hvor tcpdump legges ut, fikk beskjed om hva som hadde skjedd. Da ble serveren umiddelbart tatt ned.

Richardson sier til News.com at serveren skal analyseres før den settes i drift igjen. Inntil da vil nettstedet være utilgjengelig.

Til toppen