Code Red Security Alert Followup

2001-07-31, 05:02 PM
Subject: Code Red Security Alert Followup

> Security Alert!
> At 8:00 PM on Tuesday, July 31 (EDT), the Code Red worm will begin a new
> infestation and this one appears set to damage far more ISPs and slow the
> Internet far more than the June 19th infestation. Several of your systems
> were infected. If they are not patched by July 31, they will be reinfected
> and can damage your operations and hurt all your users by slowing their
> operations. Because a mutation of the worm is now loose, additional
> systems may also become part of the problem. The FBI, CERT/CC, Microsoft
> and SANS issued a major warning earlier today
> ( All of us hope you can help
> us stop this infrastructure attack.To correct this problem, each user needs to do only four things.
> 1. Determine whether the system is running Microsoft IIS 4.0 or 5.0
> on Windows 2000 or Windows NT.
> 2. If it is, download the appropriate patch:
> Windows NT version 4.0:
> Windows 2000 Professional, Server and Advanced Server:
> 3. Run the patch
> 4. Reboot the system.

新聞群組 網路安全新聞
日  期 2001-07-23 11:26:49
標  題 鈺松國際安全漏洞緊急通報--"Code Red" Worm
內  容 本週四出現一隻綽號為"代號紅色"(Code Red)的蠕蟲,這是一隻會自我繁殖的惡意程式碼,此蠕蟲利用eEye advisor AD20010618中提到的一些Microsoft Windows設定的弱點達成入侵的目的。目前已影響了數千部的電腦,並伺機對美國白宮的網站發動"阻斷服務"(Denial of Service)攻擊;而另外根據CERT/CC1l4el4報告指出,Code Red worm可能已經影響了約225,000台主機,並且迅速的擴散中。

之所以”Code Red” worm會擴散的如此迅速,主要是因為一台遭植入Code Red Worm的主機,會隨機的掃描其它IP的TCP port 80以尋找其它可以感染的主機,亦即這隻蠕蟲含有很強的自我複製與自我感染能力。

除了網頁被更換之外,受感染的系統可能因為Code Red Worm掃描其它主機的動作,而感覺到效能的降低。沒有被入侵的系統或網路在被其它受Code Red Worm感染的主機掃描時,可能會造成denial of service。這是因為每一個Code Red Worm會使用相同的random number generator seed產生要掃描IP的列表,會造成所有的受害主機掃描相同的IP。

此外,更要注意的是當Code Red Worm僅只是更換受影響系統的網頁和攻擊其他系統時,Code Red Worm利用的IIS indexing弱點可以被用來在本地端執行任何的程式。會使得攻擊者可以取得完全控制受害主機的權限。(詳細內容請參見附檔)

受Code Red Worm影響的除了架在Microsoft NT上的IIS Server外,網路設備大廠思科(CISCO)的Cisco CallManager、、Cisco Unity Server、Cisco uOne、Cisco ICS7750及Cisco Building Broadband Service Manager這五個機型在收到Code Red 的command時,由於Web Interface的問題,將導致主機的當機。目前思科(CISCO)已經針對此問題發佈修補程式,鈺松國際呼籲這些機型的使用者盡速更新修補程式以避免Code Red 進一步擴散。

ISS公司的弱點評估軟體Internet Scanner目前已能掃描到此一蠕蟲,ISS公司的入侵偵測軟體 RealSecure Network Sensor也已能偵測到Code Red ,且 Network Sensor的偵測回應部份還可以設定成防堵方式,如RS_Kill功能,能在網站被入侵前就立刻中斷連線。
