Ähnlich wie der vor einiger Zeit entdeckte "Scalper"-Wurm befällt "Slapper" Apache-Web-Server auf Linux, indem er eine Schwachstelle im Handshake-Prozess des Verschlüsselungsmechanismus OpenSSL (Secure Sockets Layer) ausnutzt. Apache-Server sind weit verbreitet, Schätzungen zufolge kommt die Software auf mehr als 60 Prozent aller öffentlichen Web-Server zum Einsatz. Experten gehen allerdings davon aus, dass weniger als zehn Prozent davon OpenSSL aktiviert haben.
Großes Schädigungspotenzial durch P2P-Funktion
Slapper ist deshalb so heimtückisch, weil er auch Peer-to-peer- (P2P-)Mechanismen enthält: Infizierte Rechner treten einem Verbund bei, von dem aus sich dann Distributed-Denial-of-Service- (DDoS-)Attacken auf andere Sites starten lassen. Über das von Slapper gebildete P2P-Netz könne praktisch jeder auf einen infizierten Rechner zugreifen und "damit tun, was er will", betonen Experten.
Wie die "X-Force"-Spezialisten des Anbieters Internet Security Systems (ISS) berichteten, mussten zwei amerikanische ISPs nach Slapper-Attacken ihren Dienst vorübergehend einstellen. Die DDoS-Fähigkeiten des Wurms seien "sehr mächtig" und bereits zum Angriff auf populäre Ziele genutzt worden, so die Sicherheitsexperten.
Tempo bei Ausbreitung höher als bei Code Red
Slapper verbreitet sich ziemlich schnell: Drei Tage nach dem ersten Auftauchen des Wurms zählten die Experten von F-Secure bereits über 11000 infizierte Server. Damit übertrifft der Schädling sogar Code Red, der im Juli 2001 sein Unwesen trieb und innerhalb eines Monats 300000 Server befiel. Den Spezialisten war es gelungen, das von Slapper genutzte Kommunikationsprotokoll über Reverse Engineering zu kopieren und einen Rechner mit dem von dem Wurm errichteten P2P-Netz zu verbinden. Über diesen Knoten konnten sie die IP-Adressen aller angeschlossenen Computer sehen und ihre exakte Anzahl feststellen. Innerhalb der Top-Level-Domain .de waren zu diesem Zeitpunkt 110 Rechner von Slapper befallen. F-Secure will den betroffenen Administratoren eine Warnung schicken.
Alle größeren Linux-Distributionen, darunter die von Red Hat, Suse, Mandrake, Debian und Slackware, sind gefährdet. Auch andere Unix-Versionen sowie Apache für Windows mit OpenSSL können möglicherweise angegriffen werden. Um ihre Systeme zu schützen, sollten Netz-Administratoren schnellstmöglich die korrigierte aktuelle Version 0.9.6g von OpenSSL einspielen. Diese wurde nach der ersten Entdeckung des Sicherheitslochs im Juli veröffentlicht und steht unter www.openssl.org zum Download bereit. (ave)
