[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 'Area de Seguridad en C'omputo DGSCA- UNAM Bolet'in de Seguridad 2000-001 Vulnerabilidad en amd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El 'Area de Seguridad en C'omputo de la Direcci'on General de Servicios de C'omputo Acad'emico de la UNAM ha recibido en los 'ultimos d'ias reportes comprendidos en el dominio .unam.mx, diversos indicios de ataques que explotan vulnerabilidades en el servicio amd ( Automount ), y que afecta principalmente a los sistemas Linux. Fecha de Detecci'on en los EU : Septiembre 1999 Fecha de Detecci'on en M'exico : Enero 2000 'Ultima Revisi'on : Febrero 4 2000 Sistemas Afectados : Linux Red Hat 4.0, 5.0, 5.1, 6.0, y aquellos con kernel 2.0.35 de cualquier distribuci'on. , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , El 'Area de Seguridad en C'omputo ha detectado a ra'iz de diversos reportes registrados durante el mes de Enero del 2000 diversos incidentes de seguridad, en los cuales los intrusos hacen uso de una vulnerabilidad en el programa amd, explotado principalmente en sistemas Linux(Kernel 2.0.35), haciendo uso de programas y vulnerabilidades en servicios RPC. La forma de acceso a los equipos se realiza primeramente atrav'es de un programa que funciona de forma remota, en el cual el se lanza una petici'on al programa amd, forz'andolo de tal manera que ocasiona un desbordamiento en el servicio, abortando la ejecuci'on con privilegios de Superusuario. En el mismo momento es enviado un programa con c'odigo, el cual levanta una l'inea similar al del inetd.conf levantando un servicio en determinado puerto, por lo general 2222 (puede variar de -2222 al 2222), provocando dos demonios de inetd en ejecuci'on. Una vez que es levantado el servicio por el puerto, se puede tener acceso irrestricto a la maquina como Super Usuario. Cabe sen~alar que esta vulnerabilidad es descrita de forma Original por el CERT/CC y etiquetada como CA-99-12. El documento original de esta Vulnerabilidad lo puedes encontrar en la siguiente direcci'on : http://www.cert.org/advisories/CA-99-12-amd.html ____________ IMPACTO ____________ El impacto que se tiene es que una vez explotada dicha vulnerabilidad se puede tener acceso irrestricto dentro del equipo desde cualquier sitio y poder controlar los sistemas sin dejar rastro alguno, poniendo en riesgo la operatividad e integridad del sistema. Para tratar de disminuir la creciente ola de incidentes el 'Area de Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma inmediata la revisi'on de sus sistemas si se encuentra en ejecuci'on dicho servicio en su sistema y aplicar las medidas correspondientes. Si usted necesita usar el servicio amd, le recomendamos instalar la 'ultima versi'on, disponible en : SITIO ORIGINAL ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/ ________ SOLUCION -------- Si sospechas que tu sistema se encuentra comprometido te recomendamos llevar acabo las siguientes acciones : 1.- Convertirse en Superusuario (root). % su - Password:xxxxxx 2.- Verificar que no existan varios procesos inetd en ejecuci'on. 3.- Si llegase a existir, matar los procesos que no corresponden a este servicio #ps -fea | grep inetd root 344 0.0 0.4 1.93M 256K ?SW 0:00 (inetd) root 3170 0.0 0.4 1.93M 256K ?SW 0:00 inetd /tmp/h #kill -9 3170 4.- Revisar las bit'acoras dentro de /var/log/messages y buscar la cadena correspondiente : Feb 2 15:50:30 pato amd[423]: [truncated] amq requested mount of ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P Feb 2 15:50:31 pato inetd[18497]: extra conf for service 2222/tcp (skipped) Esto nos indica que en tu sistema ha sido explotado esta vulnerabilidad. 5.- Revisar dentro del archivo /tmp, por lo general encontrar'as un archivo llamado "h"(Puede variar), el cual contendr'a lo siguiente : [root@pato log]# cat /tmp/h 2222 stream tcp nowait root /bin/sh sh -i 2222 stream tcp nowait root /bin/sh sh -i 6.- Una vez que verificaste que tu sistema si fue dan~ado, te recomendamos lo siguiente : Verifiques N'umero de Kernel Verifiques versi'on de amd disponible 7.- Una de las primeras opciones es desactivar el servicio de portmap que usan los servicios RPC('esto se aplica a las m'aquinas que no usan servicios como NIS 'o NFS), si tu m'aquina usa NIS 'o NFS ir a paso 8. Esto lo puedes hacer con el programa llamado ntsysv, que por lo general contienen los sistemas Linux, por lo general se encuantra localizado bajo /usr/sbin/ntsysv. 8. Si tu maquina usa NIS, NFS 'o alguna aplicaci'on que haga uso de los RPC, te recomendamos usar la 'ultima versi'on del servicio am-utils, disponible de: ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/ Para llevar a cabo la instalaci'on te recomendamos llevar a cabo los siguientes pasos : 8.1. Bajar el software de la direcci'on indicada, descomprimir el paquete : # gunzip am-utils-6.0.1.tar.gz # tar xf am-utils-6.0.1.tar 8.2. Ejecutar los siguientes comandos #cd am-utils-6.0.1 #./buildall Esta opci'on tomar'a los par'ametros por default, si se desea instalr en otro lugar indicarlo al momento de compilarlo. 8.3. Instalarlo # make install 8.4. Ejecutarlo. Asumiendo que se encuentra bajo /etc/amd.conf, s'olo tienes que ejecutar : # /usr/local/sbin/ctl-amd restart Esto detendr'a la versi'on anterior del amd y reiniciar'a la nueva versi'on. 9.- Otra opci'on es aplicar los parches correspondientes, los cuiales los puedes encontrar para sistemas Linux en la siguiente direcci'on en formato rpm para distintas plataformas de Linux. http://www.redhat.com/corp/support/errata/RHSA1999032_O1.html ________________ INFORMACI'ON _______________ Para Mayor Informaci'on o Detalles de este bolet'in contactar a: 'Area de Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : asc en asc unam mx http://www.asc.unam.mx/boletines Saludos --JC GUEL -- Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx Para comandos adicionales, envíelo a: ayuda-help en linux org mx