Wurm attackiert Trend Micro ServerProtect

Diverse Sensoren registrieren derzeit Aktivitäten, die auf einen Angriff gegen Trend Micros ServerProtect schließen lassen. So verzeichnet beispielsweise das Internet Storm Center deutlich ansteigende Aktivitäten auf dem TCP-Port 5168, auf dem der Management-Dienst lauscht. Das Nepenthes-Team hat mit seinen Honigtöpfen einen Exploit eingefangen, der sich von einem Server auf Port 10000 Shell-Kommandos abholt, die einen IRC-Bot nachladen.

Genaue Analysen laufen noch, aber erste Befürchtungen, der Wurm könnte bereits auf die erst vor wenigen Tagen bekannt gewordenen Lücken in Trend-Micro-Produkten abzielen, scheinen sich nicht zu bestätigen. Vielmehr liegen dem Internet Storm Center offenbar Hinweise vor, dass er Lücken ausnutzt, für die Trend bereits im Februar Patches bereitgestellt hat. Adminstratoren sollten den Zugang zu der Management-Software zu Port 5168 strikt einschränken und die bereitgestellten Patches möglichst zügig einspielen.

Siehe dazu auch:

• Trend Micro scanning on TCP 5168, Meldung des ISC zu Port-Scans
• Trend Micro ServerProtect Update, Meldung des ISC zur vermutliche genutzten Lücke
• Buffer Overflow in Trend Micros ServerProtect, heise Security am 21.2.07
• Mehrere Sicherheitslücken in Trend-Micro-Produkten, heise Security am 22.8.07

(ju)