[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2002-028 Distribución de Copias Troyanas de Sendmail ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan de que algunas copias del código fuente del paquete Sendmail fueron modificadas por un intruso y contienen un Caballo de Troya. Los sitios que emplean, redistribuyen o sirven de mirror del paquete Sendmail deberían verificar inmediatamente la integridad de su distribución. Fecha de Liberación: 8 de Octubre de 2002 Ultima Revisión: - - - CERT/CC y diversos Fuente: reportes de Equipos de Respuesta a Incidentes. DESCRIPCIÓN ----------- El CERT/UNAM-CERT han recibido confirmación de que algunas copias del código fuente del paquete Sendmail fueron modificadas por un intruso y contienen un Caballo de Troya. Los siguientes archivos fueron modificados para incluir el código malicioso: sendmail.8.12.6.tar.Z sendmail.8.12.6.tar.gz Estos archivos empezaron a estar disponibles en el servidor FTP ftp.sendmail.org alrededor del 28 de Septiembre de 2002. El equipo desarrollador de Sendmail deshabilito el servidor comprometido aproximadamente a las 22:15 PM del 6 de Octubre de 2002. Al parecer, ninguna copia que fue descargada vía HTTP contenía el Troyano; sin embargo, el CERT/UNAM-CERT recomiendan a los usuarios que han descargado el código fuente vía HTTP durante este periodo de tiempo, llevar a cabo los pasos recomendados en la sección de Solución como una medida preventiva. Las versiones del Troyano de Sendmail contienen código malicioso que es ejecutado durante el proceso de compilación del software. Este código crea un proceso que se conecta al puerto 6667/tcp de un servidor remoto fijo. Este proceso permite que un intruso abra una terminal, la cual se ejecuta en el contexto del usuario que creó el software de Sendmail. No existe evidencia de que el proceso persista después de reiniciar un sistema comprometido. Sin embargo, una instalación subsecuente del paquete de Sendmail Troyano reestablecerá el proceso de la puerta trasera. IMPACTO ------- Un intruso operando desde la dirección remota especificada en el código malicioso puede obtener acceso remoto no autorizado a cualquier servidor que haya compilado una versión Troyana de Sendmail. El nivel de acceso podría ser el del usuario que compiló el código fuente. Es importante entender que el compromiso se refiere a los sistemas que están utilizando una versión compilada del software de Sendmail y no a los sistemas que ejecuten el demonio de Sendmail. Debido a que los sistemas comprometidos crean un túnel para que el sistema pueda ser controlado de forma remota, el intruso podría tener una ruta a través de los controles de acceso de la red. SOLUCIONES ---------- * Obtener una Versión Autentica de Sendmail El sitio de distribución primaria de Sendmail es: http://www.sendmail.org/ Se recomienda a los sitios mirror del código fuente de Sendmail que verifiquen la integridad de sus fuentes. * Verificar la Autenticidad del Software Se recomienda que los sitios que han descargado recientemente una copia de la distribución de Sendmail verifiquen la autenticidad de la distribución, independientemente de donde haya sido obtenida. Además, se recomienda también a los usuarios inspeccionar cualquiera o todo el software que haya sido descargado del sitio comprometido. Se debe hacer notar que no es suficiente confiar en las fechas de creación o en el tamaño del archivo cuando se intenta determinar si es o no una copia de la versión Troyana. * Verificar las Firmas PGP La distribución del código fuente de Sendmail esta firmada criptográficamente con la siguiente firma PGP: pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002 Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45 La copia del Troyano no incluye ninguna actualización de la firma PGP actualizada, de esta forma, el intento de verificar su integridad podría fallar. El staff de sendmail.org ha comprobado que las copias de Troyano fallaron al verificar su firma PGP. * Verificar los Checksums MD5 En ausencia de PGP, se pueden utilizar los siguiente checksums MD5 para verificar la integridad de la distribución del código fuente de Sendmail: Correct versions: 73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z 8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig Como una buena practica de seguridad, el CERT/UNAM-CERT recomiendan a los usuarios verificar, cuando sea posible, la integridad del software descargado. Para una mayor información consulte: http://www.cert.org/incident_notes/IN-2001-06.html * Establecer Filtrado de Paquetes de Salida El filtrado de los paquetes de salida permite administrar el flujo de tráfico cuando abandona la red. En el caso de la distribución del Sendmail Troyano, estableciendo un filtrado de los paquetes de salida puede ayudar a prevenir que los sistemas en la red se conecten a sistemas remotos controlados por intrusos. Bloqueando las conexiones TCP de salida al puerto 6667 desde la red, se reduce el riesgo del compromiso de máquinas internas. * Crear el Software con un Usuario sin Privilegios Se recomienda a los sitios que al momento de compilar software lo hagan desde una cuenta de usuario normal, y no con una Cuenta de Administrador Local. Esto puede reducir el impacto del software Troyano. El hecho de compilar software que contenga algún Troyano con una cuenta de Administrador Local resulta un compromiso que es más difícil de recuperar, a diferencia de que el Troyano hubiera sido ejecutado desde una cuenta de usuario normal. * Recuperación de un Sistema Comprometido Si se cree que el sistema ha sido comprometido, se deben seguir los pasos contenidos en el siguiente documento: Pasos para la Recuperación de un Sistema UNIX o NT Comprometido INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-028.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPaOLXHAvLUtwgRsVAQER9Qf9EZMoV3G2Nq/zeUyO5x77J5fMYEQFriqr m+Ud604U+/HXLd4CvRd2/HrGNs3VkeKYflVSZuHM3VtFXLbjK3hpp3MKw23DS6In WbqNFWb4ohfREJWcGTUjIIr7rE1GYsBrbtC+qovuB/56MXyM37mizN/dFLG0Jr/O 4WeRqVbw5cvh/fK5vqig20ZPmlqMs33ad1ov4oZqevt68R0Y1KwjGvXv/WyKRtrK a3TGiFAXFTYBPrpn0o6x1dLj2yniB4X5eZgshk0IgdW/tmXwnxC3LbCmKsMYL1Hf 6Ra146ROdeRQYGUyjAhWvtJaGARR7Ui52iF4YFtrjaFWyVa8HXlKtQ== =lnh6 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/