Roma – Scoperto per la prima volta lo scorso venerdì, un nuovo e minaccioso worm sembra dare la caccia a quei server Linux su cui si trovi una versione non patchata di OpenSSL: come si ricorderà, le versioni precedenti alla 0.9.6e della diffusa implementazione open source del protocollo SSL sono afflitte da alcune gravi vulnerabilità di sicurezza emerse alla fine dello scorso luglio.
In un advisory il CERT ha spiegato che questo nuovo worm, conosciuto come Apache/mod_ssl worm, linux.slapper.worm o bugtraq.c worm (per comodità ci riferiremo al worm come “Slapper”), sembra in grado di infettare unicamente le implementazioni di OpenSSL integrate nel modulo per Apache mod_ssl che girano su di un sistema Linux x86.
Symantec ha spiegato in un bollettino di sicurezza che le prime segnalazioni di Slapper sono arrivate da Portogallo e Romania e che, nella sola giornata di venerdì, il vermicello avrebbe compromesso circa 3.500 computer, la maggior parte localizzati in Europa.
Slapper è in grado di fare una scansione della porta 80/tcp di un certo numero di indirizzi IP alla ricerca di sistemi potenzialmente vulnerabili ad un noto buffer overflow di OpenSSL. Quando ne ha trovato uno, il verme tenta di sfruttare la falla per copiare il suo codice sorgente sul sistema vittima all’interno del file ” .bugtraq.c “: una volta fatto ciò, il worm tenterà di compilare ed eseguire la replica di sé stesso.
I sistemi infettati, oltre ad esplorare Internet in cerca di nuove vittime, possono trasformarsi in teste di ponte per attacchi di tipo distributed denial-of-service (DDoS). Ogni worm è infatti in grado di comunicare con gli altri attraverso la porta 2002/udp: in questo modo Slapper crea una vera e propria rete peer-to-peer che, dietro le quinte, può condividere informazioni e comandi. Il worm può dunque essere utilizzato da un aggressore per orchestrare, in modo rapido ed efficiente, attacchi in massa verso altri siti.
I sintomi più evidenti dell’infezione da Slapper sono la presenza sul sistema di uno dei file denominati ” .bagtraq ” (visibili soltanto con un comando “ls -a”), mentre nei log del server Web i tentativi di infezione sono in genere identificabili attraverso la stringa “GET /mod_ssl:error:HTTP-request HTTP/1.0”.
Il CERT sostiene che un sistema compromesso da Slapper potrebbe essere vulnerabile anche ad altri tipi di attacco e consentire ad un aggressore di guadagnare il pieno controllo del computer. Il suggerimento degli esperti è quello di procedere, se non lo si è ancora fatto, all’applicazione delle patch scaricabili dal sito ufficiale di OpenSSL .
Proprio all’inizio di questo mese, nella sua ultima Web survey, Netcraft aveva espresso serie preoccupazioni riguardo la scarsa rapidità con cui gli amministratori di sistema stavano patchando i propri server.
Ti potrebbe interessare
16 set 2002