首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2004-05)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Witty蠕蟲正在傳播

發布日期:2004-03-22


受影響的軟件及系統:
====================
RealSecure Network 7.0, XPU 22.11 以及更低版本
RealSecure Server Sensor 7.0 XPU 22.11 以及更低版本
RealSecure Server Sensor 6.5 for Windows SR 3.10 以及更低版本
Proventia A Series XPU 22.11 以及更低版本
Proventia G Series XPU 22.11 以及更低版本
Proventia M Series XPU 1.9 以及更低版本
RealSecure Desktop 7.0 ebl 以及更低版本
RealSecure Desktop 3.6 ecf 以及更低版本
RealSecure Guard 3.6 ecf 以及更低版本
RealSecure Sentry 3.6 ecf 以及更低版本
BlackICE Agent for Server 3.6 ecf 以及更低版本
BlackICE PC Protection 3.6 ccf 以及更低版本
BlackICE Server Protection 3.6 ccf 以及更低版本

綜述:
======
EEYE和ISS都是國際著名的信息安全公司,總部位于美國。2004年3月18日,EEYE披露了一個ISS產品的緩沖區溢出漏洞,恰當的利用該漏洞,可以在運行這些產品的系統上執行任意代碼,獲取系統控制權。

2004年3月22日,NSFOCUS安全小組的陷阱網絡捕獲了一個針對該漏洞的蠕蟲。這個蠕蟲可感染安裝了特定版本ISS產品的系統,對其他版本的產品,也可導致程序崩潰。一旦主機感染該蠕蟲,就會大量發送數據,造成網絡帶寬被大量占用,蠕蟲還會隨機破壞文件系統,導致文件損壞和丟失,甚至造成系統無法正常啟動。

正在使用BlackICE個人防火墻以及RealSecure入侵檢測系統的用戶應當立刻升級到最新版本。

分析:
======
ISS的RealSecure、BlackICE等產品的入侵檢測功能都依賴于模塊“iss-pam1.dll”,該文件中包含了協議分析、攻擊特征描述等內容。ICQ是世界最著名的即時通信軟件之一,其通信協議是公開的。iss-pam1.dll在解析ICQ v5協議的時候對某些字段沒有很好的處理,導致了緩沖區溢出問題。因為這是RealSecure、BlackICE等產品對系統接收到的數據包解析過程中出現的問題,所以,要觸發該漏洞系統上并不需要運行著ICQ。

該蠕蟲中包含著“insert witty message here”的信息,故命名為Witty蠕蟲。Witty蠕蟲自身并不以文件形式存在,僅是一段UDP數據,這種情形類似于CodeRed和SqlSlamer蠕蟲,只要重啟系統就可以清除該蠕蟲,但重啟后還可能被再次感染。

由于Witty蠕蟲代碼中使用的API地址和溢出跳轉地址都是3.6.16版本的iss-pam1.dll中硬編碼的地址,也就是說,該蠕蟲僅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS產品,例如BlackICE 3.6 ccf,對其他版本的產品則可能會導程序崩潰。

Witty蠕蟲感染系統之后,就會向隨機生成的IP地址發送自身,并且以Raw Data方式寫硬盤,破壞系統數據,危害比較嚴重,可能大致系統無法正常啟動或工作。

解決方法:
==========
1、如果已經被蠕蟲感染,可以首先卸載或者停用ISS產品,然后備份重要數據以防止系統重啟后無法啟動,重新啟動系統以清除蠕蟲。
2、升級ISS產品到最新版本。
2、在邊界路由器或者防火墻上阻塞源端口為4000的udp數據包。由于目前ICQ客戶端普遍使用TCP協議進行通信,這樣阻塞并不會影響正常的ICQ使用者。

廠商狀態:
==========
目前ISS已經發布了下列各產品的補丁,請到http://www.iss.net/download升級至相應版本:

RealSecure Network 7.0, XPU 22.12
RealSecure Server Sensor 7.0 XPU 22.12
Proventia A Series XPU 22.12
Proventia G Series XPU 22.12
Proventia M Series XPU 1.10
RealSecure Desktop 7.0 ebm
RealSecure Desktop 3.6 ecg
RealSecure Guard 3.6 ecg
RealSecure Sentry 3.6 ecg
BlackICE Agent for Server 3.6 ecg
RealSecure Server Sensor 6.5 for Windows SR 3.11

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 快3遗漏号码数据查询 极速28的包盈利法8-19 手机兼职做任务赚钱 哈尔滨麻将手机版下载官方 近30期双色球走势 有懒人赚钱的方法么 求做彩票分分彩计划软件 大众麻将游戏免费下载 pk10万能5码 今日重庆快乐十分开奖 快乐十分钟开奖走势图 快乐10分计划软件