Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.

Betroffene Systeme

• vorrangig Rechnersysteme, die einen Webserver betreiben

Einfallstor
Voraussichtlich verwundbare Webserver, möglicherweise auch weitere, über eine Netzwerkverbindung erreichbare Dienste

Auswirkung
Je nach dem Grad der Verwundbarkeit eines Systems bis zur
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)

Eintrittswahrscheinlichkeit
Man kann davon ausgehen, daß bereits im Vorfeld als verwundbar erkannte Systeme verstärkt angegriffen werden. Sollten ernste Verwundbarkeiten vorhanden sein, muß von einer hohen Eintrittswahrscheinlichkeit ausgegangen werden.

Gefahrenpotential
mittel bis sehr hoch, je nach dem Grad der Verwundbarkeit und Sichtbarkeit eines gegebenen Systems.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Für kommenden Sonntag, den 6. Juli 2003 ist in den einschlägigen Kreisen ein Website-Defacement-Wettbewerb angekündigt. Während eines solchen Wettbewerbs versuchen Cracker meist mittels weitgehend automatischen Angriffsprogrammen, Rechnersysteme zu kompromittieren, die einen Webserver betreiben. Nach erfolgreicher Kompromittierung werden die Webseiten so verändert, daß die Kompromittierung des beherbergenden Systems offenbar wird.

Es kursieren bereits Bannerlisten (Listen mit den Begrüßungsbannern von Webservern, die Auskunft über Version und beherbergendes System geben) offenbar verwundbarer Webserver in einschlägigen Kreisen, die vermutlich während verstärkter Scanaktivität in den letzten Tagen aktuell zusammengestellt worden sind. Scanned wurde vornehmlich nach Webservern auf den Ports 80/tcp und 443/tcp.
Darüberhinaus wurde nach weiteren Netzdiensten und hier besonders nach Microsoft Datenbank-Severn auf den Ports 1433/tcp und 1434/tcp sowie nach MySQL-Servern auf dem Port 3306/tcp scanned.

Diese Umstände lassen erwarten, daß die Angriffe, die im Rahmen des Wettbewerbes vermutlich verstärkt durchgeführt werden, nicht nur Webserver sondern auch andere Systeme betreffen werden.

Workaround

• Als Sofortmaßnahme können Systeme, die nicht auf dem neuesten Stand sind, vom Netz genommen oder abgeschaltet werden, bis sie entsprechend aktualisiert wurden.
  Achtung! Es muß davon ausgegangen werden, daß die Angriffe nach Beendigung des Wettbewerbes nicht abflauen. Insbesondere Systeme, die als verwundbar erkannt worden sind, sind weiterhin extrem gefährdet.

Gegenmaßnahmen

• Update vorhandener Web- und Datenbankserver, da besonders mit Angriffen auf solche Systeme zu rechnen ist.
  • Apache
  • Microsoft SQL Server
  • Microsoft Sicherheit allgemein
• Installation aller Patches und Updates, die zu einem gegebenen System existieren. Da davon ausgegangen werden muß, daß nicht nur einzelne Serverdienste, sondern Rechnersysteme als ganzes angegriffen werden, gilt dies ausnahmslos für alle Systeme, die Dienste ins Internet anbieten sowie für alle angebotenen Dienste.

Weitere Information zu diesem Thema

• Wettbewerb für Angriffe auf Webserver (heise)
• AP Artikel
• Mitteilung des FedCIRC

Weitere Artikel zu diesem Thema:

• [Generic/Apache] Schwachstellen in Apache-Version 2.0.x (2003-05-28)
  Die Apache-Webserver-Versionen 2.0.x weisen zwei möglicherweise gravierende Schwachstellen auf.
• [Generic/Apache] Apache 2.0.43 Webserver weist mehrere Schwachstellen auf (2003-01-23)
  Mit Apache 2.0.44 wurden mehrere Sicherheitslöcher, die Microsoft-Windows-Plattformen betreffen, behoben.
• [Generic/Apache 2.0.42] Offenlegung des Quelltextes von CGI-Skripten (2002-10-07)
  Durch eine Schwachstelle in Apache 2.0.42 ist u.U. das Auslesen des Quelltextes von CGI-Skripten möglich.
• [Generic/Apache] Cross-Site-Scripting über die Fehlerseite (2002-10-07)
  Eine Schwachstelle in Apache ermöglicht Cross-Site-Scripting über die Fehlerseite (404 document).
• [MS/SQL Server,MSDE] Kumulativer Patch beseitigt neue Schwachstellen (2002-10-06)
  Der Microsoft SQL-Server 7.0/2000 sowie die Microsoft Data Engine (MSDE) weist mehrere Schwachstelllen auf.
• [MS/SQL Server,MSDE] Schwachstellen im Microsoft SQL-Server sowie der MSDE (2002-08-18)
  Die Microsoft SQL Server 7.0/2000 sowie die Microsoft Desktop Engine (MSDE) 1.0/2000 weisen mehrere Schwachstellen auf. Microsoft stellt nun einen Sammelpatch zur Verfügung.
• [Generic/Apache 2] Schwachstelle in URL-Verarbeitung (2002-08-11)
  Die Apache Software Foundation gibt die Existenz einer nicht genau beschriebenen Schwachstelle in Apache 2 für Windows, OS/2 und Netware bekannt.
• [MS/SQL Server,MDAC] Pufferüberlaufschwachstelle in Microsoft Data Access Components (2002-08-01)
  Die Microsoft Data Access Components (MDAC) weisen eine Pufferüberlaufschwachstelle in der Transact-SQL (T-SQL)-Komponente auf. Bei SQL-Servern kann diese Schwachstelle zur Ausführung beliebigen Programmcode mit den Privilegien des SQL-Servers ausgenutzt werden.
• [MS/SQL Server,MSDE] Schwachstellen im SQL Server 2000 und der Microsoft Desktop Engine (MSDE) (2002-07-25)
  Der Microsoft SQL Server 2000 und die Microsoft Desktop Engine (MSDE) weisen Schwachstellen in den Database Consistency Checkers (DBCCs) sowie bei der Datenbankreplikation auf.
• [MS/SQL Server 2000,MSDE 2000] Schwachstellen im SQL Server 2000 (2002-07-11)
  Ein Sammelpatch für den Microsoft SQL Server 2000 und SQL Server Desktop Engine (MSDE) 2000 beseitigt unter anderem drei bislang nicht veröffentlichte Schwachstellen.
• [MS/SQL,Jet] Pufferüberlaufschwachstelle im SQL Server 2000 in Kombination mit MS Jet 4.0 (2002-06-21)
  Der Microsoft SQL Server 2000 weist in Kombination mit Microsoft Jet 4.0 eine Pufferüberlaufschwachstelle auf, durch die Angreifer über eine Netzwerkverbindung beliebigen Programmcode auf dem SQL-Server ausführen können.
• [Generic/Apache] Pufferüberlaufschwachstelle im Apache-Webserver - Update (2002-06-17)
  Der Apache-Webserver weist eine Pufferüberlaufschwachstelle auf, durch die über eine Netzwerkverbindung möglicherweise beliebiger Programmcode ausgeführt werden kann.
• [MS/SQL Server] DoS-Angriff durch Pufferüberlauf-Schwachstelle - Update (2002-03-07)
  Die xp_dirtree-Funktion des Microsoft SQL-Servers weist eine Pufferüberlauf-Schwachstelle auf.
• [MS/SQL] Buffer overflow bug im Microsoft SQL Server (2002-02-25)
  Durch eine Pufferüberlauf-Schwachstelle bei der Verarbeitung von OLE-DB-Provider-Namen einer ad-hoc-Verbindungen kann ein Angreifer beliebigen Programmcode mit den Privilegien des SQL-Servers auf dem beherbergenden System ausführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/