Bedriftsteknologi

Systematiske crackerangrep utnytter kjente hull i Unix

Computer Emergency Response Team har mottatt en bølge av henvendelser som tyder på at organiserte crackergrupper driver systematiske angrep mot kjente hull i Unix. Angrepene rettes mot offentlige og private tjenere i USA.

Eirik Rossen
27. juli 1999 - 15:11

I en CERT Incident Note lagt ut på gruppens nettsted torsdag 22. juli heter det at inntrengere utnytter tre ulike svakheter i RPC-tjenester (remote procedure call), men etterlater ensartet kode. Flere forhold tyder på at crackerne nytter skripter for å automatisere sine angrep. I flere tilfeller har inntrengerne etterlatt pakkedetektorer der de har lykkes i sine angrep. De har også brukt skripter til å laste ned logginformasjon.

CERT skriver at brukernavn og passord på den kompromitterte tjeneren, eller i samme nettsegment, kan ha blitt overført til uvedkommende. Gruppen anbefaler konkrete tiltak for å sjekke sikkerheten rundt tjeneren.

Svakhetene som er utnyttet i angrepene, er kjent gjennom tidligere advarsler fra CERT. Det er lagt ut motmidler i form av både veiledning og fikser. To av RPC-hullene (ToolTalk, samt en sårbarhet i statd som utnytter et hull i automountd) har vært kjent i flere måneder. Den nyeste, en svakhet i cmsd (Calendar Manager Service Daemon), ble varslet av CERT 16. juli.

En talsperson for CERT klager til New York Times over slendrian hos mange systemansvarlige som ikke følger med i sikkerhetslandskapet, og ikke installerer fikser og patcher etter hvert som de kommer.

Flere tusen maskiner på mange titalls steder skal være rammet. CERT-talspersonen understreker at selv om det som skjer må betegnes som betydningsfullt, er man ennå langt fra det skadenivået som ble utført av Melissa-viruset.

Problemet er at eventuelt etterlatte trojanere kan gå uoppdaget lenge.

En telefonrunde til driftspersonell i Norge tyder på at tilsvarende angrep ikke er registrert her i landet. I USA skal både offentlige og private nettsteder være rammet. Foreløpig har ikke skadene vært alvorlige.

En løpende diskusjon om angrepene føres på forumet Bugtraq (se peker nedenfor).

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra