I clienti che utilizzano l’intera gamma di soluzioni per la protezione dei Sistemi e delle Reti di McAfee hanno la certezza che:

-- Le soluzioni McAfee Entercept bloccano gli attacchi contro Microsoft RPC grazie alla prima e unica tecnologia di buffer overflow brevettata

-- McAfee IntruShield blocca la vulnerabilità di Cisco IOS permettendo alle aziende di essere al sicuro immediatamente invece di dover implementare in fretta un upgrade principale sui propri router e switch Cisco

-- I filtri Sniffer Technologies possono essere utilizzati per allertare i responsabili della presenza di traffico maligno utilizzato per sfruttare la vulnerabilità di Cisco IOS.

-- InfiniStream Security Forensics può essere utilizzata per estrarre e ricostruire il traffico maligno diretto verso router specifici.

La strategia McAfeeÔÒ Protection-in-DepthÔ di Network Associates offre l’unico set completo di soluzioni per la protezione di sistemi e reti che si distingue grazie alla tecnologia di prevenzione delle intrusioni che permette di individuare e bloccare questo tipo di attacchi. Grazie a questa protezione totale, gli utenti possono installare le patch appropriate rilasciate da Cisco e Microsoft in totale tranquillità.

Microsoft ha recentemente ha rilasciato un advisory su un problema di buffer overflow riscontrato nel servizio Windows RPC. RPC (Remoter Procedure Call) è un protocollo che può essere utilizzato da un'applicazione per richiedere un servizio a un programma residente su un altro computer in rete. Un pirata informatico potrebbe sfruttare questa vulnerabilità creando un pacchetto RPC con formato errato e inviarlo a un server interessato dal problema, ottenendo accesso all’interfaccia server RPC vulnerabile presente sulla porta TCP 135. Un hacker potrebbe perciò utilizzare questa vulnerabilità per eseguire codice non autorizzato sulla macchina attaccata. Poiché il servizio RPC opera tramite privilegi di sistema, il server attaccato può essere seriamente compromesso.

Windows NT 4.0, Windows 2000

SOLUZIONE

McAfee Entercept fornisce protezione brevettata completa bloccando l’esecuzione di codice non autorizzato e evita che venga sfruttata la vulnerabilità del protocollo RPC di Microsoft.

Cisco Systems ha ha reso noto che i router e gli switch Cisco, che utilizzano il software Cisco Internetwork Operating System (IOS) configurato per elaborare i pacchetti Internet Protocol version 4 (IPv4), risultano vulnerabili agli attacchi remoti DoS (Denial of Service). Inviando pacchetti IPv4 creati appositamente a un’interfaccia su un dispositivo vulnerabile, un hacker può bloccare l’elaborazione dei pacchetti destinati a quell’interfaccia, senza che venga lanciato alcun allarme, e senza che il router riparta per correggersi automaticamente. Questo problema può interessare tutti i dispositivi Cisco che utilizzano il software Cisco IOS. Questa vulnerabilità può essere sfruttata ripetutamente, portando ad una perdita di disponibilità finché non si trova un rimedio o il dispositivo viene aggiornato con una versione corretta di IOS.

VERSIONI INTERESSATE DAL PROBLEMA

Cisco IOS 11.x

Cisco IOS 12.0, 12.1, 12.2

I dispositivi che utilizzano solo Internet Protocol version 6 (IPv6) non sono interessati da questo problema.

Gli utenti di McAfee IntruShield con il set di firme 1.5.8.4 e il Sensor Image 1.5.19 lanceranno un allarme sugli attacchi che sfruttano tale vulnerabilità. IntruShield Manager visualizzerà l’allarme "Cisco: IOS Protocol DoS" nel momento in cui viene riscontrata l’anomalia. I sensori IntruShield implementati in modalità in-linea possono essere configurati con un’azione di risposta per evitare tali pacchetti e prevenire questo tipo di attacco. Il team di progettazione Sniffer ha creato due filtri che consentono agli utenti di Sniffer Distributed o Sniffer Portable di rilevare se si sono verificati tentativi di sfruttare la vulnerabilità in Cisco IOS. Inoltre, gli utenti possono utilizzare Sniffer Distributed e InfiniStream Security Forensics per monitorare la rete, dalla periferia al centro, per rilevare eventi che potrebbe sfruttare tali vulnerabilità.

Network Associates raccomanda agli utenti interessati da queste vulnerabilità di implementare le patch necessarie e seguire le raccomandazioni di sicurezza di Microsoft e Cisco. GLi utenti interessati dal problema di buffer overflow di Microsoft RPC devono aggiornare i loro sistemi con la patch Microsoft 823980 disponibile sul sito web di Microsoft all’indirizzo:

McAfee Entercept® rientra nella famiglia di prodotti McAfee Systems Protection Solutions di Network Associates e offre una tecnologia leader di mercato per i sistemi di prevenzione delle intrusioni per server, database e web server. La tecnologia McAfee Entercept® analizza il comportamento delle applicazioni e blocca le attività sospette. L’efficacia e la tecnologia superiore di rilevazione è stata ampiamente dimostrata in occasione degli attacchi di Slammer, Code Red e Nimda, immediatamente neutralizzati.

McAfeeÒ IntruShieldÒ, parte della famiglia di prodotti McAfee Network Protection Solutions di Network Associates, è una tecnologia all’avanguardia che previene le intrusioni "on the wire" prima che vadano a colpire i sistemi critici. Estremamente automatizzato e semplice da gestire, McAfee IntruShieldÒ è progettato per un elevato livello di flessibilità tanto da poter essere implementato con un approccio progressivo – che evita i falsi positivi tipici degli odierni sistemi legacy di rilevamento delle intrusioni – e consente di sviluppare la giusta policy di protezione per ogni singola struttura IT. McAfee IntruShieldÒ è un’appliance ad alta velocità in grado di effettuare la scansione del traffico e valutare i livelli di minaccia con un’incredibile velocità, anche su reti gigabit. IntruShieldÒ è stato progettato per soddisfare i responsabili della sicurezza e i network manager dal momento che è in grado di bloccare un’ampia gamma di attacchi alla rete con latenze di rete tipicamente inferiori ai 10 millisecondi. McAfee IntruShieldÒ ricerca inoltre comportamenti anomali e include analisi specializzata per individuare nuovi attacchi di massa DoS.

A Proposito di Network Associates

Con sede principale a Santa Clara, California, Network Associates, Inc. (NYSE: NET) crea soluzioni avanzate per la sicurezza informatica che prevengono intrusioni sulle reti e proteggono le attrezzature informatiche dalle future generazioni di attacchi e minacce miste. Con due famiglie di prodotto, McAfee System Protection Solutions, per la protezione di desktop e server, e McAfee Network Protection Solutions, che garantisce la protezione e le prestazioni delel reti corporate, Network Associates fornisce sicurezza informatica a grandi aziende, enti governativi e pubblici, aziende di piccole e medie dimensioni e utenti finali. Queste due linee d’offerta includono le famose famiglie di prodotto McAfee, Sniffer e Magic. Network Associates Italia è socio CLUSIT (Associazione Italiana per la Sicurezza Informatica - www.clusit.it)