El gusano Witty.A apunta a la vulnerabilidad del cortafuegos BlackICE

Un gusano que tiene como objetivo la protección antivirus o firewall no es nuevo, pero el caso más reciente de un ataque directo a las defensas de la computadora se ha movido con una velocidad alarmante, menos de dos días después de que se descubrieran las vulnerabilidades.BlackICE y el software RealSecure, fabricado por Internet Security Sistemas -. .

Como resultado, el gusano Witty.A, un gusano de ataque a la red que se dirige a los sistemas host que ejecutan el software BlackICE y RealSecure, supuestamente logró infectar aproximadamente 10 000 computadoras en todo el mundo utilizando el puerto UDP 4000. El gusano intenta enviarse a sí mismo a 20 000 direcciones IP aleatorias e interactúa con el disco duro local, lo que posiblemente provoque un bloqueo.

Sin embargo, gracias a un número limitado de máquinas objetivo y aparentes errores de programación que sofocaron su propagación, Witty no llegó mucho más allá de la primera serie de infecciones.

«Resulta que no es tan ingenioso después de todo», dijo a El Diario del Mundo el director de código malicioso de iDefense, Ken Dunham. «Hubo un problema con el código que terminó suicidándose en la naturaleza. Parece que hubo errores en la programación que no permitieron generalizar.

Rapido y Facil

Dunham dijo que debido a que Witty explotó una condición de desbordamiento de búfer reportada solo dos días antes de su lanzamiento, es probable que muchas computadoras no tuvieran parches contra el gusano.

Con la rápida explotación de nuevas vulnerabilidades en aumento, los desbordamientos del búfer, un problema de software comúnmente atacado, son cada vez más la base de ataques relativamente fáciles de crear, según Dunham.

“Cualquiera que use el software BlackICE debería estar preocupado por este gusano”, aconsejó Dunham. «Desactive dicho software hasta que esté parcheado y protegido, y bloquee el tráfico del puerto UDP 4000 donde sea posible para bloquear los paquetes de explotación de Witty.A».

ISS dijo que las actualizaciones de productos para abordar la vulnerabilidad han estado disponibles desde el 9 de marzo, incluso antes de que se revelara la vulnerabilidad, desde su Centro de descargas. La empresa recomendó bloquear los paquetes UDP con un puerto de origen de 4000 para evitar la propagación de gusanos entrantes.

Problemas de ritmo lento

Aunque es posible que se haya cerrado cuando se truncó, la rápida liberación del gusano Witty destaca el tiempo de ejecución cada vez más rápido para los atacantes que se aprovechan de las fallas de software más recientes.


«Es lo mismo que vimos el año pasado», dijo Dunham. “Hay más atacantes capaces de causar desbordamientos de búfer muy rápidamente. Es una tendencia peligrosa.

El rápido desarrollo de Witty, que se lanzó en Internet dos días después de que eEye Digital Security e ISS revelaran las vulnerabilidades, también podría ser la razón por la que se obstaculizó la propagación del gusano, agregó Dunham.

Impacto limitado

El vicepresidente de McAfee Avert, Vincent Gullotto, le dijo a El Diario del Mundo que Witty no se consideraba una amenaza demasiado grande debido a su enfoque en solo apuntar al software de seguridad de ISS.

«No se trata de atacar el software que encuentras en casi todas las máquinas como Nimda o Code Red», dijo Gullotto.

Dijo que si bien es ciertamente preocupante para la compañía que tiene sus productos bajo fuego, Witty no debería exagerar y parece ser una «prueba de concepto». [worm] más que cualquier cosa.»

ejercito creciente

Sin embargo, Gullotto dijo que el rápido desarrollo y lanzamiento de un gusano tan pronto después de que se revelara la vulnerabilidad podría ser más preocupante.

“Lo que indica es que las comunidades de hackers y creadores de virus buscan constantemente oportunidades y formas de demostrar que algo es vulnerable”, dijo. «Nunca se sabe dónde van a encontrar una oportunidad o una vulnerabilidad que van a atacar».

Dunham dijo que el aumento de gusanos dificulta predecir cuáles son los más peligrosos, pero agregó que los profesionales de seguridad y los administradores de sistemas también están respondiendo a las amenazas con acciones y recopilación de información más proactivas.


———————————————————————————————————————–
Esperamos que te haya gustado el contenido de nuestro Blog El Diario del Mundo, sí fue así, por favor compártelo nos ayudarías mucho para seguir publicando más contenido.

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.