Snokfelle avslørte angrep mot kjent Unix-hull

En snokfelle drevet av HoneyNet Project har avslørt forsøk på å utnytte en kjent sårbarhet i Unix for å iverksette tjenestenektangrep.

Sårbarheten er av typen "buffer overflow", det vil si at et program ikke sjekker innkommende data godt nok, og sender mottatte strenger til videre behandling selv om de er for lange i forhold til det programmet er i stand til å behandle. Er man uheldig, kan den overskytende delen av strengen havne i datamaskinens minne og eksekveres der. De som setter seg inn i situasjonen, kan være i stand til å utnytte feilen til å overta kontrollen over maskinen som programmet kjøres på. Utilstrekkelig validering av innkommende data er en elementær, men dessverre forholdsvis alminnelig, programmeringsfeil.

I dette tilfellet gjelder sårbarheten en subprosess kontrolltjeneste i Common Desktop Environment (CDE), et brukergrensesnitt som primært brukes med Solaris, men som også forekommer i andre Unix-varianter. Linux skal ikke være rammet.

FBI-organet Computer Emergency Response Team (CERT) sendte ut en advarsel om CDE-hullet til sine abonnenter for to måneder siden, og gjorde denne offentlig mandag 14. januar. Leverandørene har for lengst gjort klar en patch.

Tirsdag kunngjorde en representant for HoneyNet Project at de har observert forsøk på å plante agenter for distribuerte tjenestenektangrep gjennom CDE-hullet på en Solaris server satt opp som snokfelle eller digital "honningkrukke". Det betyr at serveren framstår som en alminnelig maskin for utenforstående, samtidig som den fanger opp datasnoker på samme måte som en honningkrukke fanger fluer.

Ekspertene tolker dette angrepet som et bevis på at kunnskap om CDE-hullet er utbredt blant visse grupper ondsinnede hackere, og advarer systemadministratorer at de må sjekke sine systemer og sørge for at de nødvendige oppgraderingene er korrekt installert.

Til toppen