[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]http://www.redhat.com/support/alerts/linux_slapper_worm.html O sea que si lo instalaste cuando salio no te va a pasar nada. alan maciel wrote:
la bronca es que si tengo redhat el openssl lo tengo instalado como rpm, como le hago para actualizarlo? si redhat todavia no tienen el parche ni la actualizacion. ----- Original Message ----- From: "Gunnar Wolf" <gwolf en campus iztacala unam mx> To: <ayuda en linux org mx> Sent: Wednesday, September 18, 2002 2:45 AM Subject: [Ayuda] Mas de la vulnerabilidadLes mando este boletín respecto a la vulnerabilidad que les comentaba hace rato. Saludos, -- Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118 PGP key 1024D/8BB527AF 2001-10-23 Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF ---------- Forwarded message ---------- Date: Tue, 17 Sep 2002 19:32:34 -0500 (CDT) From: UNAM-CERT <unam-cert en seguridad unam mx> Reply-To: admin-unam en seguridad unam mx To: UNAM-CERT <unam-cert en seguridad unam mx> Subject: [Admin-UNAM] Boletin-UNAM-CERT-2002-027 "Gusano Apache/mod_ssl" -----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2002-027 Gusano Apache/mod_ssl ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan que han recibido reportes de código malicioso de autopropagación que explota una vulnerabilidad ( VU#102795) en OpenSSL. Este código malicioso ha sido referenciado como gusano Apache/mod_ssl, linux.slapper.worm y gusano bugtraq.c . Reportes recibidos por el CERT/UNAM-CERT indican que el gusano Apache/mod_ssl ya ha infectado a miles de sistemas. Fecha de 17 de Septiembre de Liberación: 2002 Ultima Revisión: 17 de Septiembre de 2002 CERT/CC y diversos Fuente: reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ------------------ * Sistemas Linux ejecutando Apache con mod_ssl accediendo a SSLv2 habilitado en OpenSSL 0.9.6d ó en versiones anteriores sobre arquitecturas Intel x86 DESCRIPCIÓN ----------- El gusano Apache/mod_ssl es un código malicioso autopropagable que explota la vulnerabilidad en OpenSSL descrita en VU#102795. Esta vulnerabilidad estaba entre los temas discutidos en el Boletín de Seguridad UNAM-CERT 2002-023 Múltiples Vulnerabilidades en OpenSSL. Mientras que esta vulnerabilidad en el servidor OpenSSL existe en una amplia variedad de plataformas, el gusano Apache/mod_ssl aparentemente trabaja solo en sistemas Linux ejecutando Apache con el módulo OpenSSL (mod_ssl) en arquitecturas Intel. El gusano Apache/mod_ssl escanea el puerto 80/tcp de sistemas potencialmente vulnerables utilizando un requerimiento HTTP GET inválido. Cuando un sistema Apache potencialmente vulnerable es detectado, el gusano intenta conectarse al servicio SSL por medio del puerto 443/tcp para entregar el código de exploit. Si es satisfactorio, una copia del código fuente malicioso es colocada en el servidor víctima, donde el sistema del intruso intentará compilarla y ejecutarla. Una vez infectado, el servidor víctima comienza a escanear otros servidores para continuar la propagación del gusano. Adicionalmente, el gusano Apache/mod_ssl puede actuar como una plataforma de lanzamiento de ataques DDoS (Distributed Denial of Service) contra otros sitios, mediante la construcción de una red de servidores infectados. Durante el proceso de infección, el servidor del intruso da instrucciones a la nueva víctima infectada para inicializar el tráfico de regreso al sistema del intruso en el puerto 2002/udp. Una vez que este canal de comunicación ha sido establecido, el sistema infectado forma parte de la red DDoS del gusano Apache/mod_ssl. Los servidores infectados pueden de esta forma compartir información con otros sistemas infectados de acuerdo a las instrucciones del intruso. De esta forma, el tráfico en el puerto 2002/udp puede ser utilizado por un intruso remoto como una canal de comunicación entre los sistemas infectados para coordinar ataques contra otros sitios. Reportes realizados al CERT/UNAM-CERT indican que el alto volumen de tráfico en el puerto 2002/udp generado entre los servidores infectados con el gusano Apache/mod_ssl puede crear problemas de rendimiento en redes con servidores infectados. Además, reparando un servidor infectado no remueve su dirección IP de la red Punto a Punto del gusano Apache/mod_ssl, los sitios que han tenido servidores infectados con el gusano Apache/mod_ssl y han sido parchados subsecuentemente, pueden continuar presentando niveles de tráfico significantes en el puerto 2002/udp direccionados a los sistemas infectados. * Identificar Servidores Infectados ----------------------------------- Los reportes indican que el código fuente del gusano Apache/mod_ssl es colocado en /tmp/.bugtraq.c en los sistemas infectados. Este es compilado con gcc , dando como resultado un binario ejecutable almacenado en /tmp/.bugtraq; De esta forma, la presencia de cualquiera de los siguientes archivos en los sistemas Linux ejecutando Apache con OpenSSL es indicio de compromiso del sistema. /tmp/.bugtraq.c /tmp/.bugtraq La fase de prueba del ataque puede observarse en el registro del servidor Web como se muestra en el ejemplo siguiente. Es importante hacer notar que pueden existir otras causas para tales entradas de registro, de esta forma, la aparición de las entradas marcadas (o similares) en el registro de un servidor Web no deberían ser interpretadas como evidencia de compromiso. Sin embargo, su presencia es un indicio para la realización de una investigación a fondo. Ejemplo: La prueba inicial para identificar la versión del software del servidor. GET / HTTP/1.1 Nota: En base a los reportes recibidos inicialmente por el CERT/UNAM-CERT, las versiones anteriores de éste Boletín mencionaron otros mensajes de error de SSL que podrían ser registrados en los servidores potencialmente vulnerables. En un análisis más completo, hemos concluido que éstos mensajes de registros no tienen relación con el gusano Apache/mod_ssl. Una explicación de una posible causa de éstos otros mensajes de error en mod_ssl fue proporcionada por Inktomi y aparece en el Apéndice A. Los servidores que se encuentren escuchando en el puerto 2002/udp para la transmisión de datos son también indicativos de compromiso por el gusano Apache/mod_ssl. * Detectar Actividad del Gusano Apache/mod_ssl en la Red --------------------------------------------------------- Los sistemas infectados son fácilmente identificables en una red por las siguientes características de tráfico: * Prueba - Escaneos al puerto 80/tcp * Propagación - Conexiones al puerto 443/tcp * DDoS - Transmisión o recepción de datagramas con fuente y destino en el puerto 2002/udp. Este tráfico es utilizado como un canal de comunicación entre los sistemas infectados para coordinar ataques contra otros sitios. Adicionalmente, los servidores infectados que están activamente participando en ataques DDoS contra otros sistemas pueden generar altos volúmenes inusuales de tráfico de ataques utilizando varios protocolos (TCP, UDP, ICMP por ejemplo). IMPACTO ------- El compromiso por el gusano Apache/mod_ssl indica que un intruso remoto puede ejecutar código arbitrario como el usuario apache en el sistema víctima. Puede ser posible para un intruso subsecuentemente ejecutar un exploit de elevación de privilegios locales con el objetivo de obtener acceso de Administrador Local en el sistema víctima. El alto volumen de tráfico generado en el puerto 2002/udp entre los servidores infectados con el gusano Apache/mod_ssl puede conducir a problemas de rendimiento en redes con servidores infectados. Además, las capacidades de los ataques DDoS incluidas en el gusano Apache/mod_ssl permiten a un sistema víctima utilizar a otros sistemas como plataformas de lanzamiento de ataques. SOLUCIONES ---------- * Aplicar un Parche ------------------- Se recomienda a todos los Administradores de los sistemas ejecutando OpenSSL revisar CA-2002-23 y VU#102795 para obtener recomendaciones detalladas de los parches proporcionados por los distribuidores. Información adicional de distribuidores está disponible en el Apéndice A. Se debe hacer notar que mientras la vulnerabilidad explotada por el gusano Apache/mod_ssl fue solucionada desde la versión 0.9.6e de OpenSSL, a la última versión de OpenSSL, la 0.9.6g. Los administradores podrían actualizar su versión de OpenSSL a alguna de las anteriormente mencionadas. El siguiente texto es tomado del CA-2002-23. Actualizar a la Versión 0.9.6e de OpenSSL Actualizar a la versión 0.9.6e de OpenSSL para resolver los problemas mencionados en este boletín. Como se hizo notar en el Boletín de OpenSSL, también se encuentran disponibles los parches por separado: Parches combinados para OpenSSL 0.9.6d: http://www.openssl.org/news/patch_20020730_0_9_6d.txt Después de aplicar los parches anteriores o actualizar a la versión 0.9.6e , se deben recompilar todas las aplicaciones utilizando OpenSSL para soportar servicios SSL o TLS, y se deben reiniciar dichos servicios o sistemas. Esto eliminará todo el código vulnerable conocido. Los sitios ejecutando la preliberación de la versión 0.9.7-beta2 de OpenSSL pueden actualizar a la versión 0.9.7-beta3, la cual corrige estas vulnerabilidades. Los parches están disponibles también por separado. Parches combinados para OpenSSL 0.9.7 beta 2: http://www.openssl.org/news/patch_20020730_0_9_7.txt Deshabilitar SSLv2 ------------------ Deshabilitando el handshaking en SSLv2 prevendrá el exploit de VU#102795 . El CERT/UNAM-CERT recomiendan consultar la documentación de mod_ssl para obtener una completa descripción de las opciones, pero uno de los métodos para deshabilitar SSLv2 es remover SSLv2 como cifra soportada en la directiva SSLCipherSuite en el archivo de configuración. Por ejemplo: SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2 Lo cual permite que SSLv2 pueda ser cambiado a SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2 deshabilitando SSLv2. Se debe cambiar +SSLv2 a !SSLv2. Sin embargo, los sistemas pueden permanecer susceptibles a otras vulnerabilidades descritas en CA-2002-23. Filtrar el Tráfico de Entrada y Salida -------------------------------------- Los siguientes pasos son solamente efectivos para limitar el daño que sistemas ya infectados con el gusano Apache/mod_ssl puedan hacer. No proporcionan protección en absoluto contra la infección inicial del sistema. Como resultado, estos pasos son solamente recomendados como un agregado a los pasos anteriores y no como otra solución que reemplace a alguna de las anteriores. Filtrar los datos de ingreso permite tener un mejor control del flujo del tráfico cuando se introduce a la red. Los servidores son las únicas máquinas que necesitan aceptar tráfico de entrada desde el Internet público. En las políticas de red que se utilizan en muchos sitios, los servidores externos se les permite solamente inicializar tráfico de entrada a las máquinas que proporcionan servicios públicos en puertos específicos. De esta forma, el filtrado de los datos de ingreso debería ser realizado en el límite para prohibir que sea inicializado externamente tráfico de entrada para servicios no autorizados. Filtrar los datos de salida permite tener un mejor control del flujo de tráfico cuando sale de la red. Existe la necesidad de limitar típicamente las máquinas que proporcionan servicios públicos que inicializan conexiones salientes hacia el Internet. En el caso del gusano Apache/mod_ssl, empleando el filtrado el tráfico de entrada y salida puede ayudar a prevenir que los sistemas en la red participen en la red DDoS del gusano y ataquen otros sistemas. Bloqueando los datagramas UDP que tienen como fuente y destino el puerto 2002 para permitir la entrada y salida de datos en la red, reduce el riesgo de que sistemas externos infectados se comuniquen con servidores infectados dentro de la red. Recuperación de un Sistema Comprometido --------------------------------------- Si se cree que el sistema ha sido comprometido, se deben seguir los pasos mencionados en: Pasos de Recuperación de un Sistema UNIX ó NT APÉNDICE A. Información de Distribuidores ------------------------------------------ Este Apéndice contiene información proporcionada por los distribuidores de éste boletín. Tan pronto como los distribuidores reporten nueva información al CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en particular no se encuentra listado a continuación, significa que no se han recibido comentarios de su parte. Apple Computer, Inc. La vulnerabilidad descrita en éste reporte ha sido referenciada como: * Security Update 2002-08-23 para Mac OS X 10.2 (Jaguar), y como * Security Update 2002-08-02 para Mac OS X 10.1.5. Covalent Technologies Covalent Technologies ha sido informado por RSA Security de que las bibliotecas BSAFE utilizadas por implementaciones SSL de Covalent son potencialmente vulnerables al problema de negociación SSL V2 detallado en VU 102795 y los boletines relacionados: Boletín de Seguridad UNAM-CERT 2002-023 y Boletín de Seguridad UNAM-CERT 2002-027. Todos los productos Covalent utilizando SSL son afectados. Covalent tiene actualizaciones de sus productos e información disponible en: http://www.covalent.net/products/rotate.php?page=110. Inktomi Como se hizo notar en el boletín, los mensajes de registro en el servidor, como por ejemplo: GET /mod_ssl:error:HTTP-request HTTP/1.0 no indican necesariamente que el sistema este comprometido. Cualquier requerimiento HTTP a un puerto que espera prestar servicios a requerimientos HTTPS generará este mensaje en el registro. El Inktomi Web crawler hace un seguimiento de enlaces URL publicados en páginas Web públicas y algunas veces es direccionado de forma incorrecta hacia servidores https. El crawler no utiliza mod_ssl de Apache (ni ningún tipo de SSL), de esta forma no está sujeto al compromiso descrito en este boletín. Pero los requerimientos crawler presentan dos de los síntomas del gusano Apache/mod_ssl: * Prueba - Escaneos al puerto 80/tcp * Propagación - Conexiones al puerto 443/tcp El crawler no utiliza el puerto 2002/udp. Los accesos al puerto 80 ó los errores de handshake HTTPS de un Inktomi Web crawler no representan un ataque al servidor Web. Los sistemas Inktomi crawler tienen hostnames de la forma j[1-9][0-9][0-9][0-9].inktomisearch.com si[1-9][0-9][0-9][0-9].inktomisearch.com Las direcciones IP de los servidores Inktomi crawler se resolverán de forma DNS inversa para nombres de esta forma. INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-027.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPYfJrHAvLUtwgRsVAQGKYAgAjs0/AmejHW9ZSxIaXf0Hgam2MkG7k1Jh vTgPqidpg4bxIR0ghD/TM2lQGwCxXVk6OkoRo241s8UncFOwp1GJLDKL3yaII3Lb AUGOdBrZe+G/0Xu4SOcsTDjmkSTQAkpOrWrYy/qindZxBc+5u0b+7vvaS5p/yLn4 KjzNTm/T8OPLSAj+wKkhQitKcPcXt3W0VEycWvTmS3FSLtfTTH3nDsdvl70x84qa wKb85ZYc+KTIVGzIwasTQx1ggZF7DKpTiqXThcARn9gMZ4CJTyS4onEdiWDSt2fn oMfgNf7mN8FBlZINQo+aOiRIDshU+HEh/pl3vAxNvv5eEp44Jnh4fw== =PpSZ -----END PGP SIGNATURE----- _______________________________________________ Lista de Correo Admin-unam Mensajes a esta lista : Admin-unam en seguridad unam mx Archivos historicos:http://www.seguridad.unam.mx/mailman/listinfo/admin-unamDar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html _______________________________________________ _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/_______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/
-- Ing. Abel Hernandez Zanatta Isssspea Soporte Tecnico y Redes 01(449)910-2080 ext. 3835 01(449)910-2081 Cell 044 449 4486118 _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/