Indirizza solo le versioni corporate dell’antivirus, che non abbiano installato la patch specifica rilasciata nel mese di maggio.
Secondo quanto riportato da eEye Digital Security, società specializzata
nell’area della sicurezza, nei giorni scorsi si sarebbe manifestata la presenza
del worm “Big Yellow”, che sfrutta una vulnerabilità nell’antivirus di Symantec,
nella versione per il mondo enterprise.
La vulnerabilità presa di mira è
stata scoperta già nel mese di Maggio scorso e risolta da Symantec, mediante il
rilascio di un’apposita patch correttiva, durante il mese successivo.
Le
versioni potenzialmente a rischio sono Symantec AntiVirus 10.0.x/10.1.x e Client
Security 3.0.x/3.1.x. Le aziende che utilizzassero tali software, è bene
provvedano immediatamente a verificare l’utilizzo delle versioni più aggiornate
e comunque a bloccare la porta TCP 2967 in modo da ridurre la superficie
d’attacco.
Sintomi di una possibile infezione da worm sono infatti traffico
sulla porta TCP/2967, comunicazioni IRC oppure connessioni multiple verso domini
gestiti attraverso il sistema per la gestione dinamica del DNS “3322.org”.
eEye informa che il proprio software per il controllo delle
vulnerabilità eventualmente presenti sul sistema – Retina -, è in grado di
riconoscere la presenza della falla sin dal mese di Maggio. Marc Maiffret,
fondatore e CTO di eEye, mette in guardia il professionista IT operante nelle
varie realtà aziendali ricordando come un sempre maggior numero di applicazioni
non-Microsoft stiano diventando oggetto di attacchi.
Gli aspetti da considerare in ambiente enterprise, sempre secondo Maiffret
sono due: in primo luogo, l’implementazione di un programma per la gestione
delle vulnerabilità che non includa solo il controllo relativo alle applicazioni
Microsoft nonché, in seconda istanza, l’adozione di un prodotto integrato per la
sicurezza capace di fornire una protezione proattiva alle minacce conosciute
così come da quelle non ancora classificate.
Da parte sua, Symantec
ammette l’esistenza del worm, ma sottolinea che in questo momento la diffusione
sembra essere alquanto limitata. Le informazioni sulla patch che l’azienda di
Cupertino aveva messo a disposizione dei propri clienti, sono disponibili a questo indirizzo.