[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Departamento de Seguridad en C'omputo DGSCA- UNAM Notas de Seguridad ASC 2000-004 Uso y explotaci'on de las vulnerabilidades rpc.statd y wu-ftpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En las ultimas horas se han reportado diversos indicios que indican actividad de intrusos tratando de explotar y usar dos recientes vulnerabilidades. El nivel de actividad y el objetivo de los ataques indican que los intrusos se encuentran usando programas automaticos(scripts) y herramientas llamadas toolkits que les permiten automatizar los ataques. El CERT/CC de los los Estados unidos pone en alerta a todos los Equipos de Respuesta a incidentes, administradores, Responsables de redes y de la Seguridad de los sistemas a estar alerta ente este tipo de ataques y explotaci'on de dichas vulnerabilidades. Estas vulnerabilidades conocidas en este tipo de ataques fueron descritas en los boletines : * boletin-asc-2000-0009 Problemas en la Validaci'on del programa rpc.statd Agosto 28,2000 * boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de entradas en el programa FTPD. Julio 18,2000 De las dos vulnerabilidades descritas en el boletin-asc-2000-008, la vulnerabilidad "site exec" es la unica que se esta presentando y siendo reportada acitva. DESCRIPCION - ----------- Diversos sitios reportan estar comprometidos con una de estas vulnerabilidades, en la mayoria de los casos cientos de equipos comprometidos con estas dos vulnerabilidades. Dentro del patron de comportamiento de dichos casos parece que los intrusos estan usando herramientas automaticas para probar y buscar equipos vulnerables y una vez localizados explotar las vulnerabilidades en una gran cantiddad de equipos vulnerables. De estos equipos vulnerables una gran cantidad corresponde a los sistemas con sistema operativo Red Hat Linux. Configuraciones instaladas por default de forma insegura en algunas versiones especialmente las del servicio rpc.statd el cual es habilitado por default en los procesos de instalaci'on y actualizaci'on del Sistema, han contribuido a la exitosa distribucion de estos tipos de ataques. Los intrusos buscan por maquinas vulnerables y por lo general buscan como objetivo principal los siguientes servicios : sunrpc (Por ejemplo) en puertos 111/udp y 111/tcp ftp en port 21/tcp en la mayor'ia de los casos se reporta que una ves rastreados estos servicios y puertos se lanza el exploit dirigido a los servicios rpc.statd y wu-ftpdde forma inmediata para poder tener acceso. Una vez que que los equipos son comprometidos, existen diversos patrones de comportamiento presentado por los intrusos y que generalmente incluyen la instalaci'on de los siguientes scripts y toolkits. * 't0rnkit' rootkit Desde mayo del 2000 se han observado mas de seis diferentes versiones del rootkit llamado 't0rnkit', 'o 'tornkit'. Lo importante es estar prevenido ante este tipo de multiples mutaciones del rootkit llamado 'tornkit' y revisar continuamente nuestros sistemas, sobre todo con los pasos que dicho script lleva a cabo al momento de intentar explotar la actividad y si nuestro sistema fue comprometido llevar a cabo la recuperacion y los pasos necesarios para restablecerlo. Los pasos que 'tornkit' lleva a cabo para lograr la intrusion son los siguientes: * Termina ejecuci'on de syslogd * Alerta el intruso acerca de redireccionamiento de bitacoras, por medio de verificar en el archivo de configuracion del syslog por el caracter '@'. * Almacenamiento de contrasen~as, por medio e un caballo de troya dentro del programa /etc/ttyhash * Instalacion de caballos de troya del programa sshd, configurado para poder escuchar en un numero de puerto especificado por el intrusocon las llaves almacenadas y proporcionadas por el intruso dentro del directorio llamado '/usr/info/.t0rn'. El binario del caballo de troya es instalado como /usr/sbin/nscd e iniciado con los siguientes parametros '/usr/sbin/nscd -q'. El mismo comando es an~adido al archivo /etc/rc.d/rc.sysinit para iniciar el programa de forma autom'atica al momento de iniciar el sistema. * Localizaci'on de archivos de configuraci'on de los caballos de troya para ocultar nombres de archivos, nombres de procesos, etc. Estos por lo general se presentan dentro del directorio llamado '/usr/src/.puta'. * Reemplazo de los siguientes archivos binarios del sistema colocando en su lugar caballos de troya de los siguientes comandos: /bin/login /sbin/ifconfig /bin/ps /usr/bin/du /bin/ls /bin/netstat /usr/sbin/in.fingerd /usr/bin/find /usr/bin/top * Instalaci'on de un sniffer capturador de contrasen~as, de un archivo almacenador de contrasen~as y un acrhico que borra las entradas al sistema y que generalmete se encuentra bajo /usr/src/.puta. * Intentos para habilitar los servicios telnet, shell y finger bajo /etc/inetd.conf, borrando el caracter que comenta dichos servicios, por lo general con los simbolos '#'. * Alerta al intruso de posibles tokens dentro del archivo /etc/hosts.deny con el caracter 'ALL'. * Reinicio del programa /usr/sbin/inetd * Reinicio del programa syslogd La mayoria de las versiones tambien incluyen una version del tcp-wrappers pero contenida dentro de ella un caballo de troya en formato RPM, comun mente llamado 'tcpd.rpm'. Existe evidencia que este toolkit 't0rnkit' ha sido modificado y esta siendo modificado en la actualidad con lo que puede presentar diversos patrones de comportamiento. Herramientas de Negaci'on de Servicio Distribuidas. - -------------------------------------------------- En adicion a la instalacion de los programas rootkits, se han detectado una creciente instalacion de herramientas de negacion de servicios de forma distribuida (DDoS) en los equipos comprometidos con estas dos vulnerabilidades (rpc.statd y wu-ftpd). Como dato cabe sen\alar que un incidente seguido por el CERT/CC se detectaron mas de 560 equipos involucrados a traves de 220 sitios distintos del Internet alrededor del mundo, con la herramienta de Negacion de servicios de red llamada Tribe Flood Network 2000 (TFN2K). LAs herramientas mas comunmente encontradas del tipo DDoS en dichos incidentes se encuentran principalmente: Tribe Flood Network (TFN) - Tribe Flood Network 2000 (TFN2K) - Stacheldraht 1.666+smurf+yps - Si deseas mas informacion acerca de los ataques del tipo Negacion de Servicio, te recomendamos consultar el documento elaborado por la gente del CERT/CC, disponible en : http://www.cert.org/reports/dsit_workshop-final.html IMPACTO - ------- La combinaci'on de ambas vulnerabilidades, as'i como la automatizaci'on de las mismas ha provocado en los recientes d'ias un incremento en la actividad de los reportes de incidentes a nivel mundial que son reportados por todos los equipos de respuesta a incidentes y a estos incidentes se asocia la inclusion de las herramientas del tipo DDoS lo cual representa un riego significante hacia los sitios del Internet y hacia la infraestructura de la red. Soluciones - ---------- El CERT/CC y el Departamento de Seguridad en Computo de la UNAM recomiendan a todos los Administradores, responsables de las Redes, equipos yd e la Seguridad de los sistemas a que revisen el boletin-asc-2000-0009 Problemas en la Validaci'on del programa rpc.statd, asi como boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de entradas en el programa FTPD, ambos disponibles en su version en espan~ol en www.asc.unam.mx. De igual forma recomendamos aplicar los parches correspondientes para cada prolema en especifico, as'i como aplicar las medidas preventivas para minimizar los riesgos a los que puede estar nuestros sistemas. INFORMACION - ------------ Para mayor informaci'on acerca de esta nota de seguridad contactar a: Departamento de Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : asc en asc unam mx http://www.asc.unam.mx/ ftp://ftp.asc.unam.mx - --- Juan Carlos Guel L'opez Departamento de Seguridad en C'omputo E-mail: asc en conga super unam mx DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43 Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/ 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.1i iQEVAwUBOcWtfT6HeEeO/+C1AQFDOQgAgIbrfdPCHW34uKZ28OiiZFQBRhea7Z1O QjTk7snX/VZrllzoaOpRA0eHkDScV9bGR5KleXcxfP1JN5AOfBEj0pUx1qVKD3/i yKJPBzTxAwFWlOarF2EJghwzyQJUV8dIhPbI2k9p3e25AuF3aBncJawmYBLUlVgT ppWpjRn5yB7cUNANBrU/dmV65UgxV38D2G2tkW10JC/68P0ebxCmRui4NAFcye2R gOPdy5nA/ne1Uiof/4ALlBhvFO36/FO6afPmxAKRmJNWyZvWhAUN09n4gYmppaOb 6Hu+lC0X/m7ne/tlETOCpRlDkfJPWg67LR5i8k8jf/mJjfGM4wpHgg== =bYNo -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx