從 2007/8/22 開始, 賽門鐵克的全球威脅管理系統偵測到大量的針對 TCP port 5168 的攻擊。而這個攻擊正是針對 TrendMicro ServerProtect SPNTSVC.exe 的 Buffer Overflow 的攻擊。
隨即, 賽門鐵克的 DeepSight honeynet 發現已經有成功的攻擊, 而這些 IP 位置是從 China 而來。
建議企業客戶立即採取以下動作, 保護您重要的 Server。
- 立刻更新原廠的修補程式
- 限制 TCP port 5168 及 3628 的連線。
- 阻擋來自於以下攻擊 IP 的連線
59.33.247.30
58.240.61.16
58.244.255.2
58.240.61.16
58.244.255.2
202.102.145.26
58.246.107.11
60.31.192.6
60.28.0.134
58.246.107.14
61.49.34.9
61.138.143.6
58.246.107.11
60.31.192.6
60.28.0.134
58.246.107.14
61.49.34.9
61.138.143.6
一直到 2007/8/23, DeepSight 威脅管理系統已經有超過 1000 個上的 Sendor 觀察到 300 多個 IP 位置, 針對這個漏洞進行超過 400,000 次以上的嘗試攻擊。Honeynet 發現到攻擊者利用這個漏洞, 得到 command shell 後, 執行指令, 從而下載 http://61.129.xxx.xxx/images/menu/dnz.dll 建立 IRC 的連線到 fbi.org.
修補程式:
其他參考資訊:
Trend Micro ServerProtect SPNTSVC.EXE Multiple Stack Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/22639/discuss
[Vulnerability Response] Buffer overflow in ServerProtect
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290
Trend Micro ServerProtect eng50.dll Stack Overflow Vulnerabilities
http://dvlabs.tippingpoint.com/advisory/TPTI-07-02
http://dvlabs.tippingpoint.com/advisory/TPTI-07-02
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290
http://www.securityfocus.com/bid/22639/discuss
[Vulnerability Response] Buffer overflow in ServerProtect
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290
Trend Micro ServerProtect eng50.dll Stack Overflow Vulnerabilities
http://dvlabs.tippingpoint.com/advisory/TPTI-07-02
http://dvlabs.tippingpoint.com/advisory/TPTI-07-02
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034290
文章標籤
全站熱搜
