|
CERT Advisory CA-2007-29 (Technical Cyber Security
Alert TA07-235A)
Trend Micro ServerProtect Contains Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-235A.html
เรียบเรียงโดย: ไตรรัตน์
พุทธรักษา,CISSP
ระบบที่ได้รับผลกระทบ
- Trend Micro ServerProtect สำหรับระบบปฏิบัติการ
Windows และ Novel Netware
กล่าวโดยทั่วไป
ได้มีการค้นพบช่องโหว่จำนวนหนึ่งบน Trend Micro ServerProtect
ซึ่งเป็นผลิตภัณฑ์ประเภท antivirus การโจมตีช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้บุกรุกสามารถเข้าควบคุมระบบที่มีช่องโหว่ได้จากระยะไกล
I. คำอธิบาย
ได้มีการค้นพบช่องโหว่ประเภทหน่วยความจำล้น (Buffer
Overflow) และ Integer Overflow ในโค้ดที่ทำหน้าที่เกี่ยวข้องกับ RPC
(Remote Procedure Call) โดยโค้ดดังกล่าวได้ถูกใช้งานจากโปรแกรมต่างๆในแพ็กเกจ
Trend Micro's ServerProtect
ผู้บุกรุกสามารถโจมตีช่องโหว่ดังกล่าวได้โดยทำการส่งข้อมูล RPC ที่สร้างขึ้นมาเป็นพิเศษไว้สำหรับทำการโจมตีไปยังระบบที่รันซอฟต์แวร์ที่มีช่องโหว่เหล่านี้
สำหรับข้อมูลเพิ่มเติม สามารถศึกษาได้จาก Vulnerability
Notes Database
II. ผลกระทบ
ผู้บุกรุกจากระยะไกลที่ไม่ได้ทำการพิสูจน์ตัวตนสามารถสั่งรันคำสั่งบนระบบที่มีช่องโหว่เหล่านี้
นอกจากนี้คำสั่งที่ถูกรันโดยผู้บุกรุก จะถูกรันโดยสิทธิของระบบซึ่งถือเป็นสิทธิสูงสุด
ทำให้ผู้บุกรุกสามารถควบคุมระบบที่มีช่องโหว่ได้อย่างสมบูรณ์แบบ
III. วิธีแก้ไข
ติดตั้งโปรแกรมซ่อมแซมช่องโหว่จาก Trend Micro
Trend Micro ได้ให้บริการโปรแกรมซ่อมแซมช่องโหว่นี้ที่
ServerProtect
5.58 for Windows NT/2000/2003 Security Patch 4 - Build 1185
ผู้ดูแลระบบควรศึกษาข้อมูลดังกล่าว และทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่โดยเร็วเท่าที่ทำได้
จำกัดการเข้าถึงระบบที่มีช่องโหว่
สำหรับระบบที่ยังไม่ได้ทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่นั้น
ผู้ดูแลระบบสามารถจำกัดการเข้าถึงระบบที่มีช่องโหว่จากเครือข่ายภายนอกที่อุปกรณ์เครือข่าย
โดยเฉพาะอย่างยิ่งการป้องกันการเข้าถึงพอร์ตที่ใช้โดย ServerProtect
(5186/tcp) และ ServerProtect Agent (3628/tcp) การป้องกันการเข้าถึงพอร์ตดังกล่าวจะช่วยลดความเสี่ยงจากการถูกโจมตีจากผู้บุกรุกภายนอก
แต่อย่างไรก็ตามระบบยังคงมีความเสี่ยงในการถูกโจมตีผู้บุกรุกภายใน
IV. เอกสารอ้างอิง
|
