Trieste, 10 settembre 2001
Attenzione: prepararsi al worm Code Blue.
Una nuova versione del Code Red si sta diffondendo attraverso internet.

Un nuovo worm rilasciato su internet è stato rilevato dall'azienda di software di Pechino, Kingsoft (il cui website è scritto solo in cinese ).

Come il precedente Code Red, Code Blue lancia un attacco di tipo Denial of Service. Mentre Code Red aveva come obiettivo il sito della Casa Bianca, Code Blue lancia un attacco verso NSFocus, un provider di network security cinese.

L'aspetto positivo di tale infezione è rappresentato dalla conseguente rimozione dell'originale Code Red, qualora esso sia presente. Inoltre, Code Blue modifica il sistema in modo da prevenire future infezioni ad opera di Code Red.

Al momento attuale non sono ancora state confermate vulnerabilità dei prodotti Cisco, basati su webservers Microsoft.

Diversamente da Code Red, il nuovo codice sfrutta molteplici vulnerabilità: questo lo rende una minaccia maggiore oltre ad aumentare l'esposizione al rischio delle potenziali vittime.

Un altro aspetto negativo e di diversità rispetto al "fratello rosso" è che Code Blue determina un aumento graduale dell'utilizzo del sistema, implicando un possibile crollo dello stesso.

"Dato che questo genera un attacco di tipo Denial of Service, un malfunzionamento del sistema costituisce in realtà una debolezza nel design del worm. L'originario Code Red è stato più problematico da catturare perchè non intralciava la capacità operativa del server" commenta Alessandro Budai, R&D engineer presso i laboratori di E*MAZE.

Si raccomanda agli amministratori di sistema di modificare i loro firewall e le ACL dei router, per bloccare il traffico in uscita verso l'indirizzo IP 211.99.196.135, che appartiene a NSFocus Information Technology.

Di nuovo, qualora vengano utilizzati i webservers Microsoft Windows (Internet Information Server - IIS), è importante aggiornare le macchine esistenti rispetto alle nuove vulnerabilità recentemente scoperte, per assicurarsi una protezione per il futuro.

Qualora ci fosse incertezza sullo stato di esposizione al Code Blue, ad altri worms e bachi di sicurezza, è possibile contattare E*MAZE per una demo del suo security scanner, ipLegion.

 


E*MAZE
E*MAZE è un innovativo provider di servizi di information security per reti fisse e mobili.

E*MAZE offre soluzioni di sicurezza via Web in grado di monitorare e proteggere i dispositivi abilitati alla connessione Internet e le reti aziendali. L'azienda opera da Trieste e gode dell'appoggio finanziario di MB Venture Capital Fund I N. V..

Per ulteriori informazioni
Luca Emili - E*MAZE Networks - (+39) 040 83 21 332
[email protected]

Sandro Buti - Hopscotch Milano - (+39) 02 34 93 81 71
[email protected]