Come riportato da più aziende attive nel campo della sicurezza, sembra che gli hacker abbiano iniziato a prendere di mira “ServerProtect”, prodotto proposto da Trend Micro per la protezione antivirus ed antimalware di sistemi server.
La spia degli attacchi ingeneratisi, è stato un anormale aumento dell’attività – a livello mondiale – sulla porta TCP 5168, collegata proprio a ServerProtect. Secondo quanto osservato da alcuni esperti, il traffico “maligno” potrebbe essere generato, almeno allo stato attuale, da una botnet piuttosto che da un qualche tipo di malware.
Symantec, da parte sua, ha consigliato agli amministratori il blocco della porta TCP 5168 o l’adozione di uno stretto controllo sugli indirizzi IP in modo da bloccare sul nascere eventuali tentativi di attacco.
Secondo quanto riportato dall’Internet Storm Center (ISC) del SANS Institute, la vulnerabilità di ServerProtect bersagliata da qualche giorno sarebbe piuttosto datata e risolta da Trend Micro, mediante il rilascio di una patch, già dal mese di Febbraio scorso. Mike Haro, portavoce Trend Micro, ha dichiarato di non aver ricevuto alcuna segnalazione circa attacchi andati a buon fine ma invita tutti i clienti ad aggiornare subito il prodotto.
Oltre alla porta TCP 5168, ISC suggerisce agli amministratori di bloccare anche TCP 3268 (ServerProtect Agent).
Bersagliato il prodotto ServerProtect di Trend Micro
Come riportato da più aziende attive nel campo della sicurezza, sembra che gli hacker abbiano iniziato a prendere di mira "ServerProtect", prodotto proposto da Trend Micro per la protezione antivirus ed antimalware di sistemi server.