Avís del CERT: Continua la amenaça de "Code Red"

Última Modificació del Document
27 de juliol de 2001

Resum		Valoració
Més consideracions sobre el cuc “Code Red” i les amenaces que continua sopossant.		Severitat
		Fiabilitat
		Probabilitat
Sistemes afectats
Windows NT 4.0 and IIS 4.0 o 5.0 i Index Server 2.0 instal·lat Windows 2000 amb IIS 4.0 o 5.0 i servei d'indexació instal·lat Cisco CallManager, Unity Server, uOne, Building Broadband Service Manager Routers DSL Cisco serie 600
Data publicació avís		ID a CVE
27-07-2001 16:00
Data modificació avís		Utilització remota
27-07-2001 16:00		Sí
Versió de l'avís		Obtenció privilegis administrador
1		Sí

El CERT ha emès un nou avís sobre l'activitat del cuc “Code Red”, donada la confusió existent sobre quin és el comportament acutal del cuc.

Segons les anàlisis efectuades pel CERT, el cuc tornarà a entrar en un cicle de propagació el proper dia 1 d'agost, a les 00:00 GMT i ha una important evidència de l'existència de nombroses màquines infectades o vulnerables a una reinfecció. Donada la velocitat amb que es propaga el cuc, és més que probable que tots els sistemes vulnerables tornaran a veure's afectats pel cuc.

Durant la primera onada, el CERT ha rebut notificacions de prop de 280.000 sistemes infectats pel cuc.

Descripció

El cuc “Code Red” és un codi malèvol amb capacitat d'auto-propagació que s'aprofita d'una vulnerabilitat del Microsoft Internet Information Server (IIS), prèviament descrita a un butlletí previ. En aquests moments es coneixen dues variants principals del cuc, que tenen un comportament a les màquines infectades diferent en funció de la data:

Modalitat de propagació (del dia 1 al dia 19 de cada mes). El sistema infectat intentarà realitzar una connexió al port 80/tcp d'una adreça IP escollida de forma aleatòria amb l'objectiu de propagar el cuc. En funció de la configuració del sistema que rep la petició de connexió hi poden haver diverses conseqüències:

Servidor IIS 4.0 i 5.0 que no han aplicat l'actualització: es veuran compromesos pel cuc “Code Red”. A la primera variant del cuc, si l'idioma del sistema operatiu és l'anglès, es modifica el contingut de les pàgines web. A la segona variant, no es modifica el contingut del servidor.
Routers Cisco DSL de la sèrie 600. Donada l'existència d'una vulnerabilitat, no relacionada amb l'existent a l'IIS, en aquesta sèrie de routers de Cisco, al moment de rebre el paquet el router deixarà d'encaminar paquets.
El sistemes que disposen d'un servidor web, diferent de l'IIS, registraran al seu fitxer de registre d'activitat. la realització de la sol·licitud.

Modalitat d'inundació (del dia 20 al 27 de cada mes). La màquina infectada començarà a realitzar un atac de denegació de servei del tipus inundació de paquets contra una adreça IP específica (que està fixada al codi font del cuc).
Finalització (després del dia 27 de cada mes). El cuc resta inactiu, encara que present a la memòria.

Impacte

Les dades facilitades pel CERT indiquen que el cuc va afectar, en només 9 hores, més de 250.000 màquines.

Solucions

Les mesures a prendre per evitar l'actuació del cuc són les ja descrites als diferents avisos publicats.

Contacte: info@quands.com