Thema der Woche

10. Juli 2002

Neue Angriffswelle gegen Web- und FTP-Server?

Nachdem im Juni gefährliche Sicherheitslücken sowohl für den Microsoft IIS ( [externer Link] HTR Chunked Encoding Heap Overrun) als auch für den Apache-Webserver ( Chunked Encoding Stack Overflow) gefunden wurden, befürchtet das US-Unternehmen Netcraft, dass diese Situation eine neue Epidemie von Angriffen auf solche Systeme provozieren könnte. Ein erstes Anzeichen könnte der Wurm Scalper sein, der Apache-Webserver (Ver. 1.3.20 und 1.3.22-24) unter FreeBSD befällt und einem Angreifer Remote-Zugriff ermöglicht sowie zur Vorbereitung von distributed-Denial-of-Service-Attacken (dDoS) missbraucht werden kann. Allerdings scheint sich Scalper nur mäßig zu verbreiten.

Die Sicherheitsupdates für beide Probleme scheinen den Erkenntnissen von Netcraft zufolge jedochd nur schleppend angelaufen zu sein: In der ersten Woche nach Bekanntwerden der Apache-Lücke hatten nur rund ein Drittel der Webserver-Administratoren reagiert und ein Update auf Version 1.3.26 durchgeführt. Und obwohl der .ASP-Vorgänger HTR auf den Microsoft-Servern kaum genutzt wird, fand Netcraft auf 45 Prozent der untersuchten IIS-Systeme einen aktivierten HTR-Support, was diese Webserver vermutlich für entsprechende Attacken verwundbar macht.

Anders als in den vorausgegangenen Monaten hat im Übrigen das [externer Link] Global Threat Operation Center von Internet Security Systems (ISS) eine überraschende Verschiebung der beliebtesten Angriffs-Ports registriert: Port 21 des File Transfer Protocols (FTP) liegt nun mit 37,5 Prozent der Attacken fast auf gleicher Höhe mit dem HTTP-Port 80 (41,7 %). ISS empfiehlt daher Administratoren dringend, nicht benötigte FTP-Dienste zu deaktivieren.