[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNAM - CERT Departamento de Seguridad en C'omputo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2001-001 Incremento de incidentes a traves vulnerabilidades rpc.statd y wu-ftpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En los ultimos d'ias se han reportado diversos indicios que indican actividad de intrusos tratando de explotar y usar dos vulnerabilidades ya conocidas, dentro de las redes de todo el dominio .mx, afectando de manera particular al sistema Operativo Linux Red Hat 6.2. El nivel de actividad y el objetivo de los ataques indican que los intrusos se encuentran usando programas automaticos(scripts) y herramientas llamadas toolkits que les permiten automatizar los ataques. El UNAM-CERT pone en alerta a todos los Administradores, responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx a estar alerta ente este tipo de ataques y explotaci'on de dichas vulnerabilidades. Estas vulnerabilidades conocidas en este tipo de ataques fueron descritas en los boletines : * boletin-asc-2000-0009 Problemas en la Validaci'on del programa rpc.statd Agosto 28,2000 * boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de entradas en el programa FTPD. Julio 18,2000 * nota-asc-2000-004 Uso y explotación de las vulnerabilidades rpc.statd y wu-ftpd Septiembre 19,2000 DESCRIPCION - ------------ Diversos sitios reportan estar comprometidos con una de estas vulnerabilidades, en la mayoria de los casos cientos de equipos comprometidos con estas dos vulnerabilidades. Dentro del patron de comportamiento de dichos casos parece que los intrusos estan usando herramientas automaticas para probar y buscar equipos vulnerables y una vez localizados explotar las vulnerabilidades en una gran cantiddad de equipos vulnerables. De estos equipos vulnerables una gran cantidad corresponde a los sistemas con sistema operativo Red Hat Linux. Configuraciones instaladas por default de forma insegura en algunas versiones especialmente las del servicio rpc.statd el cual es habilitado por default en los procesos de instalaci'on y actualizaci'on del Sistema, han contribuido a la exitosa distribucion de estos tipos de ataques. Los intrusos buscan por maquinas vulnerables y por lo general buscan como objetivo principal los siguientes servicios : sunrpc (Por ejemplo) en puertos 111/udp y 111/tcp ftp en el puerto 21/tcp En la mayor'ia de los casos se reporta que una vez rastreados estos servicios y puertos se lanza el exploit dirigido a los servicios rpc.statd y wu-ftpd de forma inmediata para poder tener acceso. Contando con acceso al equipo, los equipos son usados para poder lanzar desde ahi escaneos dirigidos a diversas redes, tratando de encontrar vulnerabilidades tanto de DNS, FTP, Telnet (IRIX), y depositando dentro de estas diversos SNIFFERS, SSH(Secure Shell) en otros puertos y ROOTKITS, que modifican ya sea de forma parcial o total el funcionamiento de los sistemas. Uno de los patrones tipicos de comportamiento analizados dentro de los sistemas RedHat 6.2, es buscar dentro del siguiente sendero por archivos ocultos, o que comiencen con caracteres raros, o en su caso espacios en blanco. * Buscar dentro de /usr/man/man1 archivos o directorios no v`alidos. * Buscar si el sistema se encuentra de modo promiscuo. # ifconfig Si aparece la leyenda promisc, nos indicara que nuestro equipo puede estar capturando tramas dentro del segmento, comunmente llamado sniffer. * Verificar puertos y servicios activos, tales como secure shell, 'o puertos no validos dentro del sistema, dado que se han encontrado programas como Secure Shell, ejecutandose en otros puertos distintos al 22. # netstat -a * Analizar rendimiento del sistema, atraves de comandos como top, ps, w, who, netstat, ifconfig, etc. * Analizar bitacoras del sistema, tales como last, messages, secure, SYSLOG, etc. Si no sabes como llevar a cabo la revision de tu sistema, te sugerimos revisar las paginas del UNAM-CERT, en la seccion : http://www.unam-cert.unam.mx/deteccion_intrusos.html IMPACTO - -------- La combinaci'on de ambas vulnerabilidades, as'i como la automatizaci'on de las mismas ha provocado en los recientes d'ias un incremento en la actividad de los reportes de incidentes dentro de las redes pertenecientes al dominio .mx, provocando saturacion en el ancho de banda y problemas diversos en los equipos de c'omputo, ya que a estos incidentes se asocia la inclusion de las herramientas del tipo DDoS lo cual representa un riego significante hacia los sitios del Internet y hacia la infraestructura de la red de nuestro pa'is. Soluciones - ---------- El UNAM-CERT y el Departamento de Seguridad en Computo de la UNAM recomiendan a todos los Administradores, responsables de las Redes, equipos y de la Seguridad de los sistemas a que revisen sus sistemas de c'omputo, y actualicen a la brevedad la version del sistema operativo si fuera el caso. Recomendamos ampliamente revisar sus sistemas si sospecha de alguna posible intrusion, si no sabe como hacerlo le recomendamos leer y seguir los pasos descritos en las paginas del UNAM-CERT tanto para los sistemas UNIX, como para los sistemas NT. De igual forma le recomendamos verficar el boletin-asc-2000-0009 "Problemas en la Validaci'on del programa rpc.statd", asi como boletin-asc-2000-0008 "Vulnerabilidad en la Validaci'on de entradas en el programa FTPD", y la nota-asc-2000-004 "Uso y explotación de las vulnerabilidades rpc.statd y wu-ftpd", para un mayor conocimeinto del programa, su solucion e impacto, todos disponibles en su version en espan~ol en (http://www.unam-cert.unam.mx). Por 'ultimo le recomendamos aplicar los parches correspondientes para cada problema en especifico, as'i como aplicar las medidas preventivas para minimizar los riesgos a los que puede estar nuestros sistemas. INFORMACION - ----------- Para mayor informaci'on acerca de esta nota de seguridad contactar a: .,,,,,,,,,, ,?H1H919191919191S,. ,d1H9191919191919111119S>. ?H9H919191919191919191919111S. UNAM CERT ,H9H919H&''`"|*H9191919191919111> ,HH919H&' ` ``+1&'` ```+91919S1b Equipo de Respuesta a Incidentes UNAM iHM11191? ` ` ` `` J19HS `1919H11S .HH919191S ` 4191& J9191919> Departamento de Seguridad en Computo |MH91119111S ` ``"'` ,19191911S JMH9191919191> ` ` `+191919111 DGSCA - UNAM 1MH919H919/`' ` ` ` `*1919111- |MH9191919+` ,J$ ` ` `|919191 :MH91919$' ,1+` . ` ` `i1H911$ 9HM1919,` ,1$' |9>,.` ,19191H E-Mail : seguridad en seguridad unam mx `4MH9191:,1$' `,1b?J1191>,?,,191119H' http://www.unam-cert.unam.mx `*HM19H91S_: `91919191919191919HH' http://www.seguridad.unam.mx `|9HMH9191111>119191919H919191M+` ftp://ftp.seguridad.unam.mx `+9HMH9191919191919191919HM+' Tel : 56 22 81 69 ``*MMH9H919H919H919HMH*'` Fax : 56 22 80 43 ``*+#HMHMHMHHd*'" -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBOrWV83AvLUtwgRsVAQH8awgAuol3TmlSPCvtHmEN2AU0JcgXtHMdbZb1 Us3gX6mzh/3LkRdxTfPea3t6n8/4aur4DsylJOWMfJRxzLZ5zFLgkbr6qVILTP2u ddBKRYCO2P7LStqv2C0L6NXyTfV3gDfYARd8oxZQVGdlNDN1rQCh6oyiTUVmv19a HgUrDY9QYFY9pGtrE3RULqVSOpdyp9tyR8oQw8eQPJ/MUmRV4x5UpCi5IPVbJPqA mtUtVYA5L4LopzTFiof82RaBEGMP758J1KdXiUFScFHLEP+3tnC0FgU6DUYpaL8a 1om4YlY/5kEprVv1w7n3oZbOHQl2gDE4w3rdGgWCg3Dh5TFLaXRgwA== =zkzg -----END PGP SIGNATURE----- Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/