Varnostne pomankljivosti Symantec / Netgear / Linksys opreme

denial

7. mar 2006 ob 10:30:29

V zadnjem času je bilo odkritih veliko varnostnih pomankljivosti v strojni in programski opremi, pomankljivosti pa imajo skupen imenovalec IRC. Tokrat pa ne gre za nepravilnosti v delovanju protokola samega, ampak v (ne)funkcionalnosti nekaterih produktov, ki operirajo z IRC protokolom, posledica pa so masovni "izpadi" uporabnikov z IRC kanalov. Zloraba odkritih pomankljivosti je trivialna zato jih skriptni otročaji masovno izkoriščajo.

Za eno izmed zlorab, ki izkorišča varnostno ranljivost v starejših različicah Symantec/Norton programski opremi je dovolj, da napadalev v IRC odjemalca vpiše "DCC SEND 123456789012345". Rešitev v tem primeru je posodobitev omenjene programske opreme.

Druga zloraba je mogoča, če napadalec uporabniku nekaterih različic Netgear/Linksys usmerjevalnikov preko IRC-a pošlje ukaz "DCC SEND "string" 0 0 0". Rešitev je v tem primeru povezava na ne-standarden IRC port (če strežnik to omogoča) oz. onemogočenje SPI (Stateful Packet Inspection) v usmerjevalniku.

Tretja zloraba pa je še bolj trivialna. Če namreč napadalec na kanal vpiše "startkeylogger", "stopkeylogger", "startspy" ali "stopspy", bodo uporabniki večine Symantec/Norton produktov "odleteli" iz IRC kanala. Za rešitev v tem primeru je potrebno med nastavitvami odkljukati "Spybot Keylogger Commands" in "Spybot Spy Commands".

Dodatno branje:
- Malware-Speak Spooks Symantec;
- Symantec Users, Start Your Keyloggers.