Nový červ Lion útočí známou a dávno opravenou dírou v BIND DNS serveru. Kdo si díru nezalepil může trpět.
Nový červ Lion útočí známou a dávno opravenou dírou v BIND DNS serveru. Kdo si díru nezalepil může trpět.
Červ napadá linuxové servery na který běží BIND DNS ve verzích 8.2, 8.2-P1, 8.2.1, 8.2.2-Px a betaverze 8.2.3. Červ využívá díru, která byla odhalena (a téměř okamžitě opravena) 29. ledna letošního roku. První akce tohoto červu byly zaznamenány koncem února. Nyní začala jeho další vlna.
Podle zprávy SANS Institute, tento červ proniká pomocí aplikace randb, která monitoruje náhodně sítě úrovně B a testuje port 53, pokud najde zranitelný systém, pronikne do něj a nainstaluje se na systém, přepíše několik binárek, aby se zneviditelnil, zruší logování systému a podobně, podrobnosti jsou ve zmiňované zprávě. Některé zdroje také uvádějí, že tento červ instaluje klienta pro plánovaný DDoS útok (Distributed Denial of Service), čímž by se jeho škodlivost ještě výrazně zvětšila.
Tento červ podobně jako již dříve popisovaný červ Ramen využívá známou, dobře dokumentovanou a dlouho opravenou bezpečnostní chybu. Díra v BINDu byla hodně propagována, záplaty šly rychle na veřejnost, v tomto směru lze tedy říci, že kdo nemá svůj systém aktualizován, téměř si o podobný útok koleduje. Častou alternativou je také používání jiných komponent, než jsou ty nejpoužívanější a tedy nejzranitelnější na nějaký plánovaný útok. Pochopitelně když se nějaká alternativa stane až příliš oblíbenou, bude jistě i proti ní veden případný útok. Každopádně platí, že kdo pravidelně kontroluje a záplatuje svůj systém je naprosto v bezpečí. Záplaty na chyby jsou připravovány přece jen rychleji, než případné záškodnické programy, které ty chyby zneužijí.