گزارش CERT/CC از وضعيت امنيت شبكه در سال 2003

هفته گذشته موسسه CERT/CC – مركز اصلي هماهنگي گروههاي امداد امنيت كامپيوتري در سطح جهان - گزارشي از فعاليتهاي خود را طي سال 2003 عرضه کرد که گروه امداد امنيت كامپيوتري ايران ( IRCERT ) با توجه به اهميت مطالب اين گزارش, چکيده اي از اين گزارش را جهت استفاده بازديد کنندگان سايت عرضه      مي کند.

مهمترين حوادث امنيتي سال 2003

مهمترين حملات سال 2003 از ديد CERT دو حمله زير بوده است:

• کرم اينترنتي W32/Sobig.F
  • اين کرم اينترنتي که از طريق ويروس منتشر مي شد براساس ارسال از طريق پيوست ايميل (Attachment) فعاليت ميکرد. اجراي      موفقيت آميز اين کرم اينترنتي منوط به باز کردن پيوست ايميل توسط کاربر يا اجراي اتوماتيک آن توسط يک برنامه کلاينت بود. Sobig سپس به صورت اتوماتيک به تمامي آدرسهاي يافت شده بر روي کامپيوتر آلوده مجددا ارسال مي شد.
• MS-SQL Server Worm/W32.Slammer
  • نفوذ گران با استفاده از يک قطعه کد منتشر شونده و نيز بهره گيري از يک شکاف امنيتي موجود بر روي MS-SQL Server2000 و نيز MSDE توانستند علاوه بر تغيير و دستکاري اطلاعات حساس موجود بر روي انواع سرورها ، کنترل ماشينهايي که اين برنامه ها بر روي آنها اجرا مي شد را نيز به دست گيرند. سازمان CERT پيشتر و در طي يک راهنمايي امنيتي وجود شکافهاي جدي امنيتي بر روي اين دو محصول را هشدار داده بود. زماني که با استفاده از اين شکافها کرم Slammer نوشته شد نيز سازمان CERT طي يک راهنمايي امنيتي اين مساله را به مخاطبين خود هشدار داد.

مهمترين شکافهاي امنيتي سال 2003

مهمترين شکافهاي امنيتي نيز از ديد سازمان CERT دو شکاف امنيتي زير بوده اند:

• انواع شکافهاي امنيتي در سرويس RPC ويندوز
  • طي هشدار امنيتي CA-2003-16  ,CERT وجود شکافهاي جدي امنيتي را در سرويس RPC ويندوز هشدار داد. طي دو هفته بعد انواع گزارشات در باب استفاده نفوذگران از اين شکافها به CERT ارسال شد که در نهايت منتهي شد به انتشار راهنمايي CA-2003-19
• شکافهايي متعدد امنيتي در Internet Explorer
  • راهنمايي امنيتي CA-2003-22 حداقل شامل پنج شکاف مهم در IE است که هر کدام از اين شکافهاي امنيتي ميتوانند امکان اجراي يک حمله DoS را به نفوذگر بدهند يا حتي کنترل کامل کامپيوتر را به نفوذگر بسپارند.

جمع بندي

در نهايت در طي سال 2003 ، بيست و هشت راهنمايي امنيتي به شرح زير توسط سازمان CERT منتشر شده است:

• سرريز بافر در ISC DHCPD

كنسرسيوم نرم افزاري اينترنت ( ISC ) چنديد مشكل سرريز بافر را در پياده سازي DHCP پيدا كرده است. اين حفره ها مي توانند به نفوذگران اجازه اجراي كدهاي دلخواه بر روي كامپيوترهاي قرباني را بدهد.

• خطاي Double Free در سرور CVS

اين خطا در سرور Concurrent Versions System باعث مي شود تا يك نفوذگر غيرمجاز بتواند از راه دور و تنها با اجازه دسترسي خواندن , يك كد دلخواه را اجرا كند , اجراي برنامه را متوقف كند , اطلاعات حساسي را بخواند و يا باعث حمله DoS  شود.

• سرريز بافر در سرويس Locator ويندوز

اين حفره امنيتي مي تواند به يك نفوذگر از راه دور اجازه دهد تا كدي دلخواه را اجرا كند يا سرويس Locator ويندوز را با مشكل روبرو كند. اين سرويس به صورت پيش فرض فعال است و در كنترلرهاي دامنه در ويندوزهاي NT و 2000 در حال اجرا است.

• کرم MS-SQL Server

CERT/CC گزارشهاي متعددي را درباره يك كد خطرناك كه خود را منتشر مي كند و از حفره هاي موجود در سرويس Resolution در Microsoft SQL Server 2000 استفاده مي كند , دريافت كرده است. انتشار اين كرم باعث شده است تا مشكلات ترافيكي در شبكه هاي مختلف بوجود آيد.

• چند خطاي امنيتي در سرور اوراکل

چند حفره و مشكل امنيتي در نرم افزار اوراكل وجود دارد كه مي تواند باعث اجراي كد دلخواه , صدور اجازه خواندن , نوشتن يا تغيير اطلاعات نوشته شده در پايگاه داده هاي اين نرم افزار يا حمله DoS شود.

• چند خطاي امنيتي در پياده سازي پروتکل SIP

وجود حفره هاي متعدد امنيتي در پياده سازي هاي شركت هاي مختلف از پروتكل Session Initiation يا SIP گزارش شده است. اين حفره هاي مي توانند به يك حمله كننده اجازه دهند تا دسترسي غيرمجاز ممتازي پيدا كند و باعث بروز حملات DoS يا عدم ثبات رفتاري سيستم شود.

• سرريز بافر در SendMail

اين حفره امنيتي در sendmail مي تواند باعث شود تا هكر اختيار root را در سرور sendmail به دست بگيرد.

• حمله به سرويس اشتراک فايل در ويندوز

در هفته هاي گذشته CERT متوجه شده است كه گزارشهاي رو به افزايشي از دارندگان سيستم عاملهاي ويندوز XP و 2000 درباره ضعف امنيتي اشتراك فايل در اين سيستم عامل ها بدست مي رسد.

• سرريز بافر در يکي از DLL هاي اصلي ويندوز

يك حفره امنيتي سرريز بافر در كتابخانه هاي Win32 API در تمامي نسخ ويندوز 2000 وجود دارد. اين حفره كه در سرورهاي IIS 5.0 داراي WebDAV به صورت فعال مورد استفاده قرار مي گيرد ، به يك هكر اجازه مي دهد تا از راه دور يك كد دلخواه را روي سيستم اجرا كند. سايتهايي كه از ويندوز 2000 استفاده مي كنند بايد هرچه سريعتر اصلاحيه امنيتي مربوطه را نصب كنند يا خدمات WebDAV را غيرفعال كنند.

• سرريز Integer در يکي از توابع کتابخانه اي SUN

خطاي سرريز Integer در تابع xdrmem_getbytes() و به عنوان بخشي از كتابخانه XDR سيستم عامل Sun توزيع شده است. اين خطا مي تواند باعث بروز سرريز بافر در برنامه هاي مختلف و در نتيجه امكان اجراي كد دلخواه بر روي سيستم شود. علاوه بر Sun بعضي شركتهاي ديگر نيز اين كد را در پياده سازي هاي خود به كار گرفته اند.

• چند خطاي امنيتي در Lotus

چند اشكال امنيتي در Lotus Notes clients و سرورهاي Domino  گزارش شده است. اين راهنمايي جزئيات اين اشكالات ، نسخ در خطر و اصلاحيه هاي مربوط را معرفي مي كند.

• سرريز بافر در SendMail

اين حفره امنيتي در sendmail مي تواند باعث شود تا هكر اختيار root را در سرور sendmail به دست بگيرد.

• چند خطاي امنيتي در Snort

دو حفره امنيتي در سيستم تشخيص نفوذ Snort وجود دارد كه هر يك در ماژول پيش پردازنده قرار دارد. هر دو حفره به هكرها اجازه مي دهد تا به عنوان كاربري كه Snort را اجرا مي كند ( معمولا root ) كدي دلخواه را از راه دور روي سيستم اجرا كند.

• سرريز بافر در يکي از توابع تبديل HTML در ويندوز

يك حفره سرريز بافر در كتابخانه اشتراكي تبديل HTML ويندوز وجود دارد. يك هكر مي تواند از اين حفره استفاده كند تا كدي دلخواه را اجرا كند يا يك حمله   DoS را اجرا كند.

• شکاف امنيتي در CISCO IOS

يك حفره در بسياري از نسخ Cisco IOS مي تواند به يك نفوذگر اجازه دهد تا از حمله DoS استفاده كند.

• سرريز بافر در سرويس RPC ويندوز

يك سرريز بافر در پياده سازي RPC مايكروسافت وجود دارد. يك هكر مي تواند از راه دور و با استفاده از اين حفره كدي دلخواه را روي سيستم قرباني اجرا كند يا حمله DoS انجام دهد.

• دسترسي عام به Exploit مربوط به خطاي امنيتي CISCO

يك خطاي امنيتي Cisco به صورت عمومي در اختيار كاربران قرار گرفته است. Exploit مربوطه در VU#411332 شرح داده شده است.

• سرريز Integer در DirectX

مجموعه اي از سرريزهاي Integer در كتابخانه DirectX ويندوز وجود دارد. يك هكر مي تواند با استفاده از اين حفره ها كدي دلخواه را روي سيستم قرباني اجرا كند يا حمله DoS انجام دهد.

• دسترسي عام به Exploit مربوط به سرريز بافر در RPC ويندوز

CERT گزارشاتي را درباره استفاده گسترده از دو حفره امنيتي كه اخيرا كشف شده اند دريافت كرده است. اين دو حفره در واسط RPC قرار دارند.

• کرم Blaster

CERT گزارشاتي را درباره فعاليت گسترده كد خطرناكي به نام W32/Blaster دريافت كرده است. اين كرم اينترنتي از حفره هاي امنيتي شناخته شده در واسط RPC ويندوز براي نفوذ استفاده مي كند.

• مشکل امنيتي سرور FTP مربوط به پروژه GNU

CERT گزارشي را دريافت كرده است مبني بر اين كه سيستم ميزباني سرورهاي اصلي FTP در پروژه GNU هك شده است.

• چند شکاف امنيتي در IE

IE داراي چند حفره امنيتي است كه مهمترين آنها به يك هكر اجازه مي دهد تا از راه دور كدي دلخواه را اجرا نمايد.

• شکاف امنيتي در RPCSS ويندوز

مايكروسافت بولتني را منتشر كرده است كه در آن سه حفره امنيتي را كه بسياري از نسخ ويندوز را تحت تاثير قرار مي دهند توضيح داده است. دو حفره شامل امكان سرريز بافر هستند و به يك هكر اجازه مي دهند تا كدي دلخواه را روي سيستم قرباني اجرا كند. سومين حفره به يك مهاجم اجازه مي دهد تا حمله DoS‌انجام دهد.

• شکاف امنيتي در مديريت بافرها در OPENSSH

در نسخ پيش از نسخه 3.7 OpenSSH يك حفره امنيتي در تابع مديريت بافر وجود دارد. اين حفره مي تواند به يك هكر اجازه دهد تا حافظه heap را تخريب كند و باعث بروز شرايط DoS شود. همچنين هكر امكان اجراي كد دلخواه را نيز خواهد داشت.

• سرريز بافر در SendMail

اين حفره امنيتي در sendmail مي تواند باعث شود تا هكر اختيار root را در سرور sendmail به دست بگيرد.

• چند شکاف امنيتي در پياده سازي SSL و TLS

جندين شكاف امنيتي در پياده سازي هاي مختلف پروتكلهاي  SSL و ‏TLS وجود دارد. اين شكافها در كد ASN.1 وجود داشته اند. مهمترين آنها مي تواند به هكر اجازه اجراي كد دلخواه  و انجام DoS را بدهد.

• چند شکاف امنيتي در ويندوز و Exchange

چند حفره امنيتي در دو محصول ويندوز و Exchange وجود دارد كه مهمترين آنها به هكر اجازه اجراي كد دلخواه  را مي دهد.

• سرريز بافر در سرويس WorkStation ويندوز

يك سرريز بافر در سرويس WorkStation ويندوز (WKSSVC.DLL) وجود دارد كه يك هكر مي تواند با استفاه از آن كد دلخواهي را اجرا كند و يا حمله DoS‌ انجام دهد.