CERT warnt vor Angriffswelle

Das Computer Emergency Response Team (CERT) warnt in einer sogenannten "Incident Note" vor automatisierten Angriffen gegen Internet-Server. Die Attacken beruhen auf längst bekannten Sicherheitslücken in FTP-Servern und rpc.statd, zu denen Patches der Hersteller bereitstehen. Neu ist das systematische Vorgehen der Angreifer, das darauf hindeutet, dass sich entsprechende Skripte und Toolkits im Umlauf befinden.

Nach einem erfolgreichen Einbruch installieren die Angreifer einen sogenannten Root-Kit, der ihre weiteren Aktivitäten versteckt und ihnen diverse Hintertüren öffnet. Des weiteren wurden auf vielen der betroffenen Systeme Tools für Distributed Denial of Service Attacks (DDoS) entdeckt, mit denen sich die gehackten Rechner quasi als Zombi-Armee fernsteuern lassen. Im Februar wurden die Internet-Sites von Yahoo, Amazon und anderen Opfer von DDoS-Attacken, an denen Tausende solcher gehackter Rechner beteiligt waren. Das CERT nennt keine konkreten Zahlen über das Ausmaß der aktuellen Vorfälle, spricht aber von einer schwerwiegenden Gefahr für Internet-Sites und die Infrastruktur des Internet.

Betroffen sind vor allem Linux-Systeme mit verschiedenen Versionen der Red-Hat-Distribution, aber auch andere Linux- und Unix-Varianten sind gefährdet. Das CERT empfiehlt dringend, die in den CERT-Advisories aufgeführten Patches der Hersteller einzuspielen. Siehe auch

CA-2000-17, Input Validation Problem in rpc.statd

CA-2000-13, Input Validation Problems In FTPD (ju)