گزارش CERT/CC از وضعیت امنیت شبکه در سال 2003

هفته گذشته موسسه CERT/CC – مرکز اصلی هماهنگی گروههای امداد امنیت کامپیوتری در سطح جهان - گزارشی از فعالیتهای خود را طی سال 2003 عرضه کرد که گروه امداد امنیت کامپیوتری ایران ( IRCERT ) با توجه به اهمیت مطالب این گزارش, چکیده ای از این گزارش را جهت استفاده بازدید کنندگان سایت عرضه      می کند.

مهمترین حوادث امنیتی سال 2003

مهمترین حملات سال 2003 از دید CERT دو حمله زیر بوده است:

• کرم اینترنتی W32/Sobig.F
  • این کرم اینترنتی که از طریق ویروس منتشر می شد براساس ارسال از طریق پیوست ایمیل (Attachment) فعالیت میکرد. اجرای      موفقیت آمیز این کرم اینترنتی منوط به باز کردن پیوست ایمیل توسط کاربر یا اجرای اتوماتیک آن توسط یک برنامه کلاینت بود. Sobig سپس به صورت اتوماتیک به تمامی آدرسهای یافت شده بر روی کامپیوتر آلوده مجددا ارسال می شد.
• MS-SQL Server Worm/W32.Slammer
  • نفوذ گران با استفاده از یک قطعه کد منتشر شونده و نیز بهره گیری از یک شکاف امنیتی موجود بر روی MS-SQL Server2000 و نیز MSDE توانستند علاوه بر تغییر و دستکاری اطلاعات حساس موجود بر روی انواع سرورها ، کنترل ماشینهایی که این برنامه ها بر روی آنها اجرا می شد را نیز به دست گیرند. سازمان CERT پیشتر و در طی یک راهنمایی امنیتی وجود شکافهای جدی امنیتی بر روی این دو محصول را هشدار داده بود. زمانی که با استفاده از این شکافها کرم Slammer نوشته شد نیز سازمان CERT طی یک راهنمایی امنیتی این مساله را به مخاطبین خود هشدار داد.

مهمترین شکافهای امنیتی سال 2003

مهمترین شکافهای امنیتی نیز از دید سازمان CERT دو شکاف امنیتی زیر بوده اند:

• انواع شکافهای امنیتی در سرویس RPC ویندوز
  • طی هشدار امنیتی CA-2003-16  ,CERT وجود شکافهای جدی امنیتی را در سرویس RPC ویندوز هشدار داد. طی دو هفته بعد انواع گزارشات در باب استفاده نفوذگران از این شکافها به CERT ارسال شد که در نهایت منتهی شد به انتشار راهنمایی CA-2003-19
• شکافهایی متعدد امنیتی در Internet Explorer
  • راهنمایی امنیتی CA-2003-22 حداقل شامل پنج شکاف مهم در IE است که هر کدام از این شکافهای امنیتی میتوانند امکان اجرای یک حمله DoS را به نفوذگر بدهند یا حتی کنترل کامل کامپیوتر را به نفوذگر بسپارند.

جمع بندی

در نهایت در طی سال 2003 ، بیست و هشت راهنمایی امنیتی به شرح زیر توسط سازمان CERT منتشر شده است:

• سرریز بافر در ISC DHCPD

کنسرسیوم نرم افزاری اینترنت ( ISC ) چندید مشکل سرریز بافر را در پیاده سازی DHCP پیدا کرده است. این حفره ها می توانند به نفوذگران اجازه اجرای کدهای دلخواه بر روی کامپیوترهای قربانی را بدهد.

• خطای Double Free در سرور CVS

این خطا در سرور Concurrent Versions System باعث می شود تا یک نفوذگر غیرمجاز بتواند از راه دور و تنها با اجازه دسترسی خواندن , یک کد دلخواه را اجرا کند , اجرای برنامه را متوقف کند , اطلاعات حساسی را بخواند و یا باعث حمله DoS  شود.

• سرریز بافر در سرویس Locator ویندوز

این حفره امنیتی می تواند به یک نفوذگر از راه دور اجازه دهد تا کدی دلخواه را اجرا کند یا سرویس Locator ویندوز را با مشکل روبرو کند. این سرویس به صورت پیش فرض فعال است و در کنترلرهای دامنه در ویندوزهای NT و 2000 در حال اجرا است.

• کرم MS-SQL Server

CERT/CC گزارشهای متعددی را درباره یک کد خطرناک که خود را منتشر می کند و از حفره های موجود در سرویس Resolution در Microsoft SQL Server 2000 استفاده می کند , دریافت کرده است. انتشار این کرم باعث شده است تا مشکلات ترافیکی در شبکه های مختلف بوجود آید.

• چند خطای امنیتی در سرور اوراکل

چند حفره و مشکل امنیتی در نرم افزار اوراکل وجود دارد که می تواند باعث اجرای کد دلخواه , صدور اجازه خواندن , نوشتن یا تغییر اطلاعات نوشته شده در پایگاه داده های این نرم افزار یا حمله DoS شود.

• چند خطای امنیتی در پیاده سازی پروتکل SIP

وجود حفره های متعدد امنیتی در پیاده سازی های شرکت های مختلف از پروتکل Session Initiation یا SIP گزارش شده است. این حفره های می توانند به یک حمله کننده اجازه دهند تا دسترسی غیرمجاز ممتازی پیدا کند و باعث بروز حملات DoS یا عدم ثبات رفتاری سیستم شود.

• سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.

• حمله به سرویس اشتراک فایل در ویندوز

در هفته های گذشته CERT متوجه شده است که گزارشهای رو به افزایشی از دارندگان سیستم عاملهای ویندوز XP و 2000 درباره ضعف امنیتی اشتراک فایل در این سیستم عامل ها بدست می رسد.

• سرریز بافر در یکی از DLL های اصلی ویندوز

یک حفره امنیتی سرریز بافر در کتابخانه های Win32 API در تمامی نسخ ویندوز 2000 وجود دارد. این حفره که در سرورهای IIS 5.0 دارای WebDAV به صورت فعال مورد استفاده قرار می گیرد ، به یک هکر اجازه می دهد تا از راه دور یک کد دلخواه را روی سیستم اجرا کند. سایتهایی که از ویندوز 2000 استفاده می کنند باید هرچه سریعتر اصلاحیه امنیتی مربوطه را نصب کنند یا خدمات WebDAV را غیرفعال کنند.

• سرریز Integer در یکی از توابع کتابخانه ای SUN

خطای سرریز Integer در تابع xdrmem_getbytes() و به عنوان بخشی از کتابخانه XDR سیستم عامل Sun توزیع شده است. این خطا می تواند باعث بروز سرریز بافر در برنامه های مختلف و در نتیجه امکان اجرای کد دلخواه بر روی سیستم شود. علاوه بر Sun بعضی شرکتهای دیگر نیز این کد را در پیاده سازی های خود به کار گرفته اند.

• چند خطای امنیتی در Lotus

چند اشکال امنیتی در Lotus Notes clients و سرورهای Domino  گزارش شده است. این راهنمایی جزئیات این اشکالات ، نسخ در خطر و اصلاحیه های مربوط را معرفی می کند.

• سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.

• چند خطای امنیتی در Snort

دو حفره امنیتی در سیستم تشخیص نفوذ Snort وجود دارد که هر یک در ماژول پیش پردازنده قرار دارد. هر دو حفره به هکرها اجازه می دهد تا به عنوان کاربری که Snort را اجرا می کند ( معمولا root ) کدی دلخواه را از راه دور روی سیستم اجرا کند.

• سرریز بافر در یکی از توابع تبدیل HTML در ویندوز

یک حفره سرریز بافر در کتابخانه اشتراکی تبدیل HTML ویندوز وجود دارد. یک هکر می تواند از این حفره استفاده کند تا کدی دلخواه را اجرا کند یا یک حمله   DoS را اجرا کند.

• شکاف امنیتی در CISCO IOS

یک حفره در بسیاری از نسخ Cisco IOS می تواند به یک نفوذگر اجازه دهد تا از حمله DoS استفاده کند.

• سرریز بافر در سرویس RPC ویندوز

یک سرریز بافر در پیاده سازی RPC مایکروسافت وجود دارد. یک هکر می تواند از راه دور و با استفاده از این حفره کدی دلخواه را روی سیستم قربانی اجرا کند یا حمله DoS انجام دهد.

• دسترسی عام به Exploit مربوط به خطای امنیتی CISCO

یک خطای امنیتی Cisco به صورت عمومی در اختیار کاربران قرار گرفته است. Exploit مربوطه در VU#411332 شرح داده شده است.

• سرریز Integer در DirectX

مجموعه ای از سرریزهای Integer در کتابخانه DirectX ویندوز وجود دارد. یک هکر می تواند با استفاده از این حفره ها کدی دلخواه را روی سیستم قربانی اجرا کند یا حمله DoS انجام دهد.

• دسترسی عام به Exploit مربوط به سرریز بافر در RPC ویندوز

CERT گزارشاتی را درباره استفاده گسترده از دو حفره امنیتی که اخیرا کشف شده اند دریافت کرده است. این دو حفره در واسط RPC قرار دارند.

• کرم Blaster

CERT گزارشاتی را درباره فعالیت گسترده کد خطرناکی به نام W32/Blaster دریافت کرده است. این کرم اینترنتی از حفره های امنیتی شناخته شده در واسط RPC ویندوز برای نفوذ استفاده می کند.

• مشکل امنیتی سرور FTP مربوط به پروژه GNU

CERT گزارشی را دریافت کرده است مبنی بر این که سیستم میزبانی سرورهای اصلی FTP در پروژه GNU هک شده است.

• چند شکاف امنیتی در IE

IE دارای چند حفره امنیتی است که مهمترین آنها به یک هکر اجازه می دهد تا از راه دور کدی دلخواه را اجرا نماید.

• شکاف امنیتی در RPCSS ویندوز

مایکروسافت بولتنی را منتشر کرده است که در آن سه حفره امنیتی را که بسیاری از نسخ ویندوز را تحت تاثیر قرار می دهند توضیح داده است. دو حفره شامل امکان سرریز بافر هستند و به یک هکر اجازه می دهند تا کدی دلخواه را روی سیستم قربانی اجرا کند. سومین حفره به یک مهاجم اجازه می دهد تا حمله DoS‌انجام دهد.

• شکاف امنیتی در مدیریت بافرها در OPENSSH

در نسخ پیش از نسخه 3.7 OpenSSH یک حفره امنیتی در تابع مدیریت بافر وجود دارد. این حفره می تواند به یک هکر اجازه دهد تا حافظه heap را تخریب کند و باعث بروز شرایط DoS شود. همچنین هکر امکان اجرای کد دلخواه را نیز خواهد داشت.

• سرریز بافر در SendMail

این حفره امنیتی در sendmail می تواند باعث شود تا هکر اختیار root را در سرور sendmail به دست بگیرد.

• چند شکاف امنیتی در پیاده سازی SSL و TLS

جندین شکاف امنیتی در پیاده سازی های مختلف پروتکلهای  SSL و ‏TLS وجود دارد. این شکافها در کد ASN.1 وجود داشته اند. مهمترین آنها می تواند به هکر اجازه اجرای کد دلخواه  و انجام DoS را بدهد.

• چند شکاف امنیتی در ویندوز و Exchange

چند حفره امنیتی در دو محصول ویندوز و Exchange وجود دارد که مهمترین آنها به هکر اجازه اجرای کد دلخواه  را می دهد.

• سرریز بافر در سرویس WorkStation ویندوز

یک سرریز بافر در سرویس WorkStation ویندوز (WKSSVC.DLL) وجود دارد که یک هکر می تواند با استفاه از آن کد دلخواهی را اجرا کند و یا حمله DoS‌ انجام دهد.