Megelőző védelem a Cisco IOS és a Microsoft RPC sérülékenységeire
forrás Prim Online, 2003. július 25. 13:26
A Network Associates teljes rendszer- és hálózatvédelmet nyújt a nemrég felfedezett Cisco IOS és Microsoft PRC sérülékenységekre a McAfee IntruShield, a McAfee Entercept és a Sniffer hálózatvédelmi platform technológiáinak segítségével.
A Network Associates a következő védelmi technológiák telepítését javasolja a felhasználóknak:
A McAfee Entercept szabadalmaztatott puffer túlcsordulás technológiája megelőzi a Microsoft RPC hibáját kihasználó támadásokat.
A McAfee IntruShield megoldás komoly router-fejlesztések nélkül is megállítja a Cisco IOS sérülékenységet kihasználó támadásokat
A Sniffer Technologies szűrőivel a Cisco IOS sérülékenységét kihasználó rosszindulatú adatcsomagok azonosíthatóak.
Az InfiniStream Security Forensics-szel rekonstruálható a rosszindulatú adatforgalom, és megállapítható, hogy mely router-eket érte a támadás
Az RPC szolgáltatás két távoli Windows NT 4.0 vagy 2000 operációs rendszert futtató számítógép között procedúrahívásokat tesz lehetővé. A Microsoft nemrég jelentette meg a Windows RPC puffer túlcsordulásra vonatkozó tanácsait. Amennyiben a támadó hozzáfér a szerver 135-ös portján található RPC interfészhez, egy preparált, tetszőleges rosszindulatú kódot tartalmazó RPC adatcsomagot küld a védtelen szerverre. Mivel az RPC szolgáltatás „rendszerprivilégiummal" üzemel, a támadó korlátlan hozzáféréshez juthat. A McAfee Entercept megvédi a szervereket az ismert, és - viselkedéselemzés alapján - a még ismeretlen támadásoktól, mint amilyen például a puffer túlcsordulását kihasználó támadás is.
A Cisco Systems szintén megjelentetett egy, az IOS sérülékenységére vonatkozó tanácsait tartalmazó közleményt. Amennyiben az IOS szoftver konfigurálva van az Internet Protocol 4-es verziójának (IPv4) kezelésére, fennáll a DoS (denial of service) típusú támadás lehetősége. A támadó leállíthatja az interfész felé irányuló adatcsomag forgalmat, anélkül, hogy behatolás észrevehető lenne, vagy a router újraindítaná magát a hiba miatt. Ez a sérülékenység ismételten kihasználható, egészen a javított IOS verzió telepítéséig.
Az érintett IOS verziók: Cisco IOS 11.x, Cisco IOS 12.0, 12.1, 12.2. A 6-os verziószámú Internet Protocol-t (IPv6) futtató eszközök nem érintettek!
Az IntruShield nagysebességű hálózatokon is képes csomagvesztés nélkül átszűrni a forgalmat az ismert, ismeretlen és denial of service jellegű támadások után kutatva. A szoftver preventív módban, a hálózati forgalomelemzés módszerével a még ismeretlen támadásokat is blokkolja. Az alkalmazások több nagy sebességű szegmens forgalmát is képesek egyidejűleg kezelni. Az 1.5.8.4 signature setet és a 1.5.19 Sensor Image-t alkalmazó felhasználók esetében az IntruShield Manager azonosítja és blokkolja a DoS támadást.
A Sniffer tervezőcsapata két biztonsági filtert készített a Sniffer Distributed és a Sniffer Portable felhasználói részére a Cisco IOS sérülékenység kihasználása ellen. A felhasználók mindemellett a Sniffer Distributed és az Infinistream Security Forensics segítségével az egész hálózatot megfigyelhetik az ezt a biztonsági rést kihasználó adatcsomagok kiszűrésének érdekében.
A Microsoft RPC puffer túlcsordulásra vonatkozó 823980-as javítás elérhető a
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp címen.
A Cisco IOS sérülékenységét javító frissítés elérhető a http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml címen.
Mindkét javítás telepítése után a szerver újraindítására van szükség.
A McAfee Entercept szabadalmaztatott puffer túlcsordulás technológiája megelőzi a Microsoft RPC hibáját kihasználó támadásokat.
A McAfee IntruShield megoldás komoly router-fejlesztések nélkül is megállítja a Cisco IOS sérülékenységet kihasználó támadásokat
A Sniffer Technologies szűrőivel a Cisco IOS sérülékenységét kihasználó rosszindulatú adatcsomagok azonosíthatóak.
Az InfiniStream Security Forensics-szel rekonstruálható a rosszindulatú adatforgalom, és megállapítható, hogy mely router-eket érte a támadás
Az RPC szolgáltatás két távoli Windows NT 4.0 vagy 2000 operációs rendszert futtató számítógép között procedúrahívásokat tesz lehetővé. A Microsoft nemrég jelentette meg a Windows RPC puffer túlcsordulásra vonatkozó tanácsait. Amennyiben a támadó hozzáfér a szerver 135-ös portján található RPC interfészhez, egy preparált, tetszőleges rosszindulatú kódot tartalmazó RPC adatcsomagot küld a védtelen szerverre. Mivel az RPC szolgáltatás „rendszerprivilégiummal" üzemel, a támadó korlátlan hozzáféréshez juthat. A McAfee Entercept megvédi a szervereket az ismert, és - viselkedéselemzés alapján - a még ismeretlen támadásoktól, mint amilyen például a puffer túlcsordulását kihasználó támadás is.
A Cisco Systems szintén megjelentetett egy, az IOS sérülékenységére vonatkozó tanácsait tartalmazó közleményt. Amennyiben az IOS szoftver konfigurálva van az Internet Protocol 4-es verziójának (IPv4) kezelésére, fennáll a DoS (denial of service) típusú támadás lehetősége. A támadó leállíthatja az interfész felé irányuló adatcsomag forgalmat, anélkül, hogy behatolás észrevehető lenne, vagy a router újraindítaná magát a hiba miatt. Ez a sérülékenység ismételten kihasználható, egészen a javított IOS verzió telepítéséig.
Az érintett IOS verziók: Cisco IOS 11.x, Cisco IOS 12.0, 12.1, 12.2. A 6-os verziószámú Internet Protocol-t (IPv6) futtató eszközök nem érintettek!
Az IntruShield nagysebességű hálózatokon is képes csomagvesztés nélkül átszűrni a forgalmat az ismert, ismeretlen és denial of service jellegű támadások után kutatva. A szoftver preventív módban, a hálózati forgalomelemzés módszerével a még ismeretlen támadásokat is blokkolja. Az alkalmazások több nagy sebességű szegmens forgalmát is képesek egyidejűleg kezelni. Az 1.5.8.4 signature setet és a 1.5.19 Sensor Image-t alkalmazó felhasználók esetében az IntruShield Manager azonosítja és blokkolja a DoS támadást.
A Sniffer tervezőcsapata két biztonsági filtert készített a Sniffer Distributed és a Sniffer Portable felhasználói részére a Cisco IOS sérülékenység kihasználása ellen. A felhasználók mindemellett a Sniffer Distributed és az Infinistream Security Forensics segítségével az egész hálózatot megfigyelhetik az ezt a biztonsági rést kihasználó adatcsomagok kiszűrésének érdekében.
A Microsoft RPC puffer túlcsordulásra vonatkozó 823980-as javítás elérhető a
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp címen.
A Cisco IOS sérülékenységét javító frissítés elérhető a http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml címen.
Mindkét javítás telepítése után a szerver újraindítására van szükség.
Kapcsolódó cikkek
- 11 hibát javít a Microsoft frissítőcsomag
- Kritikus fontosságú Windows-, Office-, Excel-javítások érkeznek
- Microsoft Update-nek álcázott trójai
- Készül a Google-barát Vista SP1
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- A Cisco a biztonságtechnológiai videoelemzés szabványosításáért
- 15 rést javít a Microsoft 6 biztonsági frissítése
- „PatchMeter” –szerverbiztonsági adatok mérése
- Négy kritikus javítás kiadására készül a Microsoft
- Big Brother szoftvert barkácsol a Microsoft