[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UNAM - CERT
Departamento de Seguridad en C'omputo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2001-001
Incremento de incidentes a traves vulnerabilidades rpc.statd y wu-ftpd
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
En los ultimos d'ias se han reportado diversos indicios que indican
actividad de intrusos tratando de explotar y usar dos vulnerabilidades
ya conocidas, dentro de las redes de todo el dominio .mx, afectando de manera particular al sistema Operativo Linux Red Hat 6.2. El nivel de actividad y el objetivo de los ataques indican que los intrusos se encuentran usando programas automaticos(scripts) y herramientas llamadas toolkits que les permiten automatizar los ataques.
El UNAM-CERT pone en alerta a todos los Administradores, responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx a estar alerta ente este tipo de ataques y explotaci'on de dichas vulnerabilidades.
Estas vulnerabilidades conocidas en este tipo de ataques fueron descritas
en los boletines :
* boletin-asc-2000-0009 Problemas en la Validaci'on del programa
rpc.statd
Agosto 28,2000
* boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de
entradas en el programa FTPD.
Julio 18,2000
* nota-asc-2000-004 Uso y explotación de las vulnerabilidades rpc.statd y wu-ftpd
Septiembre 19,2000
DESCRIPCION
- ------------
Diversos sitios reportan estar comprometidos con una de estas
vulnerabilidades, en la mayoria de los casos cientos de equipos
comprometidos con estas dos vulnerabilidades. Dentro del patron de
comportamiento de dichos casos parece que los intrusos estan usando
herramientas automaticas para probar y buscar equipos vulnerables y una
vez localizados explotar las vulnerabilidades en una gran cantiddad de
equipos vulnerables.
De estos equipos vulnerables una gran cantidad corresponde a los sistemas
con sistema operativo Red Hat Linux. Configuraciones instaladas por
default de forma insegura en algunas versiones especialmente las del
servicio rpc.statd el cual es habilitado por default en los procesos de
instalaci'on y actualizaci'on del Sistema, han contribuido a la exitosa
distribucion de estos tipos de ataques.
Los intrusos buscan por maquinas vulnerables y por lo general buscan como
objetivo principal los siguientes servicios :
sunrpc (Por ejemplo) en puertos 111/udp y 111/tcp
ftp en el puerto 21/tcp
En la mayor'ia de los casos se reporta que una vez rastreados estos
servicios y puertos se lanza el exploit dirigido a los servicios rpc.statd
y wu-ftpd de forma inmediata para poder tener acceso.
Contando con acceso al equipo, los equipos son usados para poder lanzar
desde ahi escaneos dirigidos a diversas redes, tratando de encontrar
vulnerabilidades tanto de DNS, FTP, Telnet (IRIX), y depositando dentro
de estas diversos SNIFFERS, SSH(Secure Shell) en otros puertos y ROOTKITS,
que modifican ya sea de forma parcial o total el funcionamiento de los sistemas.
Uno de los patrones tipicos de comportamiento analizados dentro de los
sistemas RedHat 6.2, es buscar dentro del siguiente sendero por archivos
ocultos, o que comiencen con caracteres raros, o en su caso espacios en blanco.
* Buscar dentro de /usr/man/man1 archivos o directorios no v`alidos.
* Buscar si el sistema se encuentra de modo promiscuo.
# ifconfig
Si aparece la leyenda promisc, nos indicara que nuestro equipo
puede estar capturando tramas dentro del segmento, comunmente llamado sniffer.
* Verificar puertos y servicios activos, tales como secure shell,
'o puertos no validos dentro del sistema, dado que se han encontrado
programas como Secure Shell, ejecutandose en otros puertos distintos al 22.
# netstat -a
* Analizar rendimiento del sistema, atraves de comandos como top, ps, w, who, netstat, ifconfig, etc.
* Analizar bitacoras del sistema, tales como last, messages, secure, SYSLOG, etc.
Si no sabes como llevar a cabo la revision de tu sistema, te sugerimos revisar las paginas del UNAM-CERT, en la seccion :
http://www.unam-cert.unam.mx/deteccion_intrusos.html
IMPACTO
- --------
La combinaci'on de ambas vulnerabilidades, as'i como la automatizaci'on de
las mismas ha provocado en los recientes d'ias un incremento en la
actividad de los reportes de incidentes dentro de las redes pertenecientes al dominio .mx, provocando saturacion en el ancho de banda y problemas diversos en los equipos de c'omputo, ya que a estos incidentes se asocia la inclusion de las herramientas del tipo DDoS lo cual representa un riego significante hacia los sitios del Internet y hacia la infraestructura de la red de nuestro pa'is.
Soluciones
- ----------
El UNAM-CERT y el Departamento de Seguridad en Computo de la UNAM
recomiendan a todos los Administradores, responsables de las Redes,
equipos y de la Seguridad de los sistemas a que revisen sus sistemas de c'omputo, y actualicen a la brevedad la version del sistema operativo si fuera el caso.
Recomendamos ampliamente revisar sus sistemas si sospecha de alguna posible intrusion, si no sabe como hacerlo le recomendamos leer y seguir los pasos descritos en las paginas del UNAM-CERT tanto para los sistemas UNIX, como para los sistemas NT.
De igual forma le recomendamos verficar el boletin-asc-2000-0009 "Problemas en la Validaci'on del programa rpc.statd", asi como boletin-asc-2000-0008 "Vulnerabilidad en la Validaci'on de entradas en el programa FTPD", y la nota-asc-2000-004 "Uso y explotación de las vulnerabilidades rpc.statd y wu-ftpd", para un mayor conocimeinto del programa, su solucion e impacto, todos disponibles en su version en espan~ol en (http://www.unam-cert.unam.mx).
Por 'ultimo le recomendamos aplicar los parches correspondientes para cada
problema en especifico, as'i como aplicar las medidas preventivas para
minimizar los riesgos a los que puede estar nuestros sistemas.
INFORMACION
- -----------
Para mayor informaci'on acerca de esta nota de seguridad contactar a:
.,,,,,,,,,,
,?H1H919191919191S,.
,d1H9191919191919111119S>.
?H9H919191919191919191919111S. UNAM CERT
,H9H919H&''`"|*H9191919191919111>
,HH919H&' ` ``+1&'` ```+91919S1b Equipo de Respuesta a Incidentes UNAM
iHM11191? ` ` ` `` J19HS `1919H11S
.HH919191S ` 4191& J9191919> Departamento de Seguridad en Computo
|MH91119111S ` ``"'` ,19191911S
JMH9191919191> ` ` `+191919111 DGSCA - UNAM
1MH919H919/`' ` ` ` `*1919111-
|MH9191919+` ,J$ ` ` `|919191
:MH91919$' ,1+` . ` ` `i1H911$
9HM1919,` ,1$' |9>,.` ,19191H E-Mail : seguridad en seguridad unam mx
`4MH9191:,1$' `,1b?J1191>,?,,191119H' http://www.unam-cert.unam.mx
`*HM19H91S_: `91919191919191919HH' http://www.seguridad.unam.mx
`|9HMH9191111>119191919H919191M+` ftp://ftp.seguridad.unam.mx
`+9HMH9191919191919191919HM+' Tel : 56 22 81 69
``*MMH9H919H919H919HMH*'` Fax : 56 22 80 43
``*+#HMHMHMHHd*'"
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBOrWV83AvLUtwgRsVAQH8awgAuol3TmlSPCvtHmEN2AU0JcgXtHMdbZb1
Us3gX6mzh/3LkRdxTfPea3t6n8/4aur4DsylJOWMfJRxzLZ5zFLgkbr6qVILTP2u
ddBKRYCO2P7LStqv2C0L6NXyTfV3gDfYARd8oxZQVGdlNDN1rQCh6oyiTUVmv19a
HgUrDY9QYFY9pGtrE3RULqVSOpdyp9tyR8oQw8eQPJ/MUmRV4x5UpCi5IPVbJPqA
mtUtVYA5L4LopzTFiof82RaBEGMP758J1KdXiUFScFHLEP+3tnC0FgU6DUYpaL8a
1om4YlY/5kEprVv1w7n3oZbOHQl2gDE4w3rdGgWCg3Dh5TFLaXRgwA==
=zkzg
-----END PGP SIGNATURE-----
Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/