Linux-orm posisjonert for massive DoS-angrep

En Linux-orm som hittil har infisert minst 6000 maskiner, kan være posisjonert for massive distribuerte tjenestenektangrep.

En rekke internasjonale IT-vernselskaper, blant dem Symantec, F-Secure og Kaspersky Lab, advarer mot en ny Linux-orm, kjent som Linux.Slapper.Worm eller Apache/mod_ssl Worm, populært kalt "Slapper". Ormen utnytter en kjent sårbarhet i OpenSSL, en funksjon som er antatt å være aktivisert på en million Linux-servere. Denne sårbarheten ble oppdaget tidligere i år, og publisert blant annet i Multiple Vulnerabilities In OpenSSL fra Computer Emergency Response Team.

Fiks for sårbarheten har vært offentlig tilgjengelig i snart halvannen måned, men det kan antas at et stort antall servere fortsatt er sårbare.

Statistikk fra F-Secure tyder på at ormen allerede har infisert minst 6000 servere fordelt på 100 land. Det nøyaktige tallet per kl 19 norsk tid søndag kvel var 5987.

Slapper ble først oppdaget i Øst-Europa fredag 13. september. Det typiske offeret er en Linux-maskin som kjører en Apache webserver og OpenSSL aktivisert. Infiserte maskiner blir medlemmer av et massivt likeverdig nettverk ("peer to peer") kontrollert av ormens opphav. Kontrollen over nettverket gjør det blant annet mulig å lansere massive distribuerte tjenestenektangrep (DDoS eller "distributed denial of service").

F-Secure skriver at de har en server tilknyttet nettverket, og at de fra denne maskinen er i stand til å overvåke spredningen av smitten.

Russiske Kaspersky Lab peker på at ormen sprer seg som kildekode skrevet i C, og bruker den lokale C-kompilatoren for å gjøre koden eksekverbar. Først når dette er gjennomført, kjøres selve ormen. Dette er samme teknikk som den første store Internett-ormen, Morris-ormen fra 1988, benyttet seg av. Teknikken innebærer at ormen ikke er avhengig noen bestemt Linux-distribusjon. Morris-ormen spredte seg over 6000 servere og utløste skader anslått til 96 millioner dollar. Siden har ingen ormer brukt kildekode til å spre seg, før Slapper. Kaspersky mener metoden nå kan bli svært utbredt.

Grunnen til at ormen bare sprer seg til Linux-maskiner, er at det er denne plattformen den er programmert til å lete opp. I prinsippet er det ikke noe i veien for å bruke kildekodeteknikken til å legge igjen bakdører på servere på tvers av operativsystemer som Linux, Windows og Unix, gitt at man finner en sårbarhet som er felles for dem, noe åpne standarder som OpenSSL legger et grunnlag for.

Ifølge Internet Storm Center, et nettsted som drives av SANS Institute, installerer Slapper tjenestenektagenten "bugtraq.c" og bruker port 2002 for å kommunisere i det likeverdige nettverket. Senteret oppgir hva du skal lete etter for å finne ut om du er smittet eller ikke. For å unngå smitte anbefale å slå av sslv2, og å oppgradere til den siste utgaven av OpenSSL.

Til toppen