purk
2001-07-31, 05:02 PM
Subject: Code Red Security Alert Followup
> Security Alert!
>
> At 8:00 PM on Tuesday, July 31 (EDT), the Code Red worm will begin a new
> infestation and this one appears set to damage far more ISPs and slow the
> Internet far more than the June 19th infestation. Several of your systems
> were infected. If they are not patched by July 31, they will be reinfected
> and can damage your operations and hurt all your users by slowing their
> operations. Because a mutation of the worm is now loose, additional
> systems may also become part of the problem. The FBI, CERT/CC, Microsoft
> and SANS issued a major warning earlier today
> (http://www.digitalisland.net/coderedalert). All of us hope you can help
> us stop this infrastructure attack.To correct this problem, each user needs to do only four things.
>
> 1. Determine whether the system is running Microsoft IIS 4.0 or 5.0
> on Windows 2000 or Windows NT.
> 2. If it is, download the appropriate patch:
> Windows NT version 4.0:
> http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
> Windows 2000 Professional, Server and Advanced Server:
> http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
> 3. Run the patch
> 4. Reboot the system.
>
http://www.iss.com.tw/newscenter/index.php?select=news&group=secure&id=83&page=1
新聞群組 網路安全新聞
日 期 2001-07-23 11:26:49
標 題 鈺松國際安全漏洞緊急通報--"Code Red" Worm
內 容 本週四出現一隻綽號為"代號紅色"(Code Red)的蠕蟲,這是一隻會自我繁殖的惡意程式碼,此蠕蟲利用eEye advisor AD20010618中提到的一些Microsoft Windows設定的弱點達成入侵的目的。目前已影響了數千部的電腦,並伺機對美國白宮的網站發動"阻斷服務"(Denial of Service)攻擊;而另外根據CERT/CC1l4el4報告指出,Code Red worm可能已經影響了約225,000台主機,並且迅速的擴散中。
之所以”Code Red” worm會擴散的如此迅速,主要是因為一台遭植入Code Red Worm的主機,會隨機的掃描其它IP的TCP port 80以尋找其它可以感染的主機,亦即這隻蠕蟲含有很強的自我複製與自我感染能力。
除了網頁被更換之外,受感染的系統可能因為Code Red Worm掃描其它主機的動作,而感覺到效能的降低。沒有被入侵的系統或網路在被其它受Code Red Worm感染的主機掃描時,可能會造成denial of service。這是因為每一個Code Red Worm會使用相同的random number generator seed產生要掃描IP的列表,會造成所有的受害主機掃描相同的IP。
此外,更要注意的是當Code Red Worm僅只是更換受影響系統的網頁和攻擊其他系統時,Code Red Worm利用的IIS indexing弱點可以被用來在本地端執行任何的程式。會使得攻擊者可以取得完全控制受害主機的權限。(詳細內容請參見附檔)
受Code Red Worm影響的除了架在Microsoft NT上的IIS Server外,網路設備大廠思科(CISCO)的Cisco CallManager、、Cisco Unity Server、Cisco uOne、Cisco ICS7750及Cisco Building Broadband Service Manager這五個機型在收到Code Red 的command時,由於Web Interface的問題,將導致主機的當機。目前思科(CISCO)已經針對此問題發佈修補程式,鈺松國際呼籲這些機型的使用者盡速更新修補程式以避免Code Red 進一步擴散。
ISS公司的弱點評估軟體Internet Scanner目前已能掃描到此一蠕蟲,ISS公司的入侵偵測軟體 RealSecure Network Sensor也已能偵測到Code Red ,且 Network Sensor的偵測回應部份還可以設定成防堵方式,如RS_Kill功能,能在網站被入侵前就立刻中斷連線。
為避免國內企業機關網站遭駭客以此一入侵途徑攻擊,鈺松國際日來亦針對駭客攻擊事件追蹤紀錄,並呼籲各界須特別提高警覺。如您有駭客防治進一步問題可洽鈺松國際剋駭專線:(02)23255380分機102黃經理。
> Security Alert!
>
> At 8:00 PM on Tuesday, July 31 (EDT), the Code Red worm will begin a new
> infestation and this one appears set to damage far more ISPs and slow the
> Internet far more than the June 19th infestation. Several of your systems
> were infected. If they are not patched by July 31, they will be reinfected
> and can damage your operations and hurt all your users by slowing their
> operations. Because a mutation of the worm is now loose, additional
> systems may also become part of the problem. The FBI, CERT/CC, Microsoft
> and SANS issued a major warning earlier today
> (http://www.digitalisland.net/coderedalert). All of us hope you can help
> us stop this infrastructure attack.To correct this problem, each user needs to do only four things.
>
> 1. Determine whether the system is running Microsoft IIS 4.0 or 5.0
> on Windows 2000 or Windows NT.
> 2. If it is, download the appropriate patch:
> Windows NT version 4.0:
> http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
> Windows 2000 Professional, Server and Advanced Server:
> http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
> 3. Run the patch
> 4. Reboot the system.
>
http://www.iss.com.tw/newscenter/index.php?select=news&group=secure&id=83&page=1
新聞群組 網路安全新聞
日 期 2001-07-23 11:26:49
標 題 鈺松國際安全漏洞緊急通報--"Code Red" Worm
內 容 本週四出現一隻綽號為"代號紅色"(Code Red)的蠕蟲,這是一隻會自我繁殖的惡意程式碼,此蠕蟲利用eEye advisor AD20010618中提到的一些Microsoft Windows設定的弱點達成入侵的目的。目前已影響了數千部的電腦,並伺機對美國白宮的網站發動"阻斷服務"(Denial of Service)攻擊;而另外根據CERT/CC1l4el4報告指出,Code Red worm可能已經影響了約225,000台主機,並且迅速的擴散中。
之所以”Code Red” worm會擴散的如此迅速,主要是因為一台遭植入Code Red Worm的主機,會隨機的掃描其它IP的TCP port 80以尋找其它可以感染的主機,亦即這隻蠕蟲含有很強的自我複製與自我感染能力。
除了網頁被更換之外,受感染的系統可能因為Code Red Worm掃描其它主機的動作,而感覺到效能的降低。沒有被入侵的系統或網路在被其它受Code Red Worm感染的主機掃描時,可能會造成denial of service。這是因為每一個Code Red Worm會使用相同的random number generator seed產生要掃描IP的列表,會造成所有的受害主機掃描相同的IP。
此外,更要注意的是當Code Red Worm僅只是更換受影響系統的網頁和攻擊其他系統時,Code Red Worm利用的IIS indexing弱點可以被用來在本地端執行任何的程式。會使得攻擊者可以取得完全控制受害主機的權限。(詳細內容請參見附檔)
受Code Red Worm影響的除了架在Microsoft NT上的IIS Server外,網路設備大廠思科(CISCO)的Cisco CallManager、、Cisco Unity Server、Cisco uOne、Cisco ICS7750及Cisco Building Broadband Service Manager這五個機型在收到Code Red 的command時,由於Web Interface的問題,將導致主機的當機。目前思科(CISCO)已經針對此問題發佈修補程式,鈺松國際呼籲這些機型的使用者盡速更新修補程式以避免Code Red 進一步擴散。
ISS公司的弱點評估軟體Internet Scanner目前已能掃描到此一蠕蟲,ISS公司的入侵偵測軟體 RealSecure Network Sensor也已能偵測到Code Red ,且 Network Sensor的偵測回應部份還可以設定成防堵方式,如RS_Kill功能,能在網站被入侵前就立刻中斷連線。
為避免國內企業機關網站遭駭客以此一入侵途徑攻擊,鈺松國際日來亦針對駭客攻擊事件追蹤紀錄,並呼籲各界須特別提高警覺。如您有駭客防治進一步問題可洽鈺松國際剋駭專線:(02)23255380分機102黃經理。