Bolet'in de Seguridad 2000-001

Juan Carlos Guel Lopez cguel en martini.super.unam.mx
Vie Feb 4 20:41:24 CST 2000 

 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                   'Area de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
           Bolet'in de Seguridad 2000-001 Vulnerabilidad en amd  
 
  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
 
     El 'Area de Seguridad en C'omputo de la Direcci'on General de
Servicios de C'omputo Acad'emico de la UNAM ha recibido en los 'ultimos
d'ias reportes comprendidos en el dominio .unam.mx, diversos  indicios de
ataques que explotan vulnerabilidades en el servicio amd ( Automount ),
y que afecta principalmente a los sistemas Linux.


  Fecha de Detecci'on en los EU  : Septiembre 1999
  Fecha de Detecci'on en M'exico : Enero      2000 
  'Ultima Revisi'on              : Febrero 4  2000
  Sistemas Afectados             : Linux Red Hat 4.0, 5.0, 5.1, 6.0, 
                                   y aquellos con kernel 2.0.35 de
			           cualquier distribuci'on.

 , , , , , , , , , , , , , , , 
 * Descripci'on del Problema *
 , , , , , , , , , , , , , , , 

  El 'Area de Seguridad en C'omputo ha detectado a ra'iz de diversos
reportes registrados durante el mes de Enero del 2000 diversos incidentes
de seguridad, en los cuales los intrusos hacen uso de una vulnerabilidad
en el programa amd, explotado principalmente en sistemas Linux(Kernel
2.0.35), haciendo uso de programas  y vulnerabilidades en servicios RPC.

 La forma de acceso a los equipos se realiza primeramente atrav'es de un
programa que funciona de forma remota, en el cual el se lanza una
petici'on al programa amd, forz'andolo de tal manera que ocasiona  
un desbordamiento en el servicio, abortando la ejecuci'on con privilegios
de Superusuario.

 En el mismo momento es enviado un programa con c'odigo, el cual levanta
una l'inea similar al del inetd.conf levantando un servicio en determinado
puerto, por lo general 2222 (puede variar de -2222 al 2222), provocando
dos demonios de inetd en ejecuci'on.

Una vez que es levantado el servicio por el puerto, se puede tener acceso
irrestricto a la maquina como Super Usuario.

Cabe sen~alar que esta vulnerabilidad es descrita de forma Original por el
CERT/CC  y etiquetada como CA-99-12.

El documento original de esta Vulnerabilidad lo puedes encontrar en la
siguiente direcci'on :

http://www.cert.org/advisories/CA-99-12-amd.html

 ____________
 IMPACTO
 ____________

 El impacto que se tiene es que una vez explotada dicha vulnerabilidad se
 puede tener acceso irrestricto dentro del equipo desde  cualquier sitio y
 poder controlar los sistemas sin dejar rastro alguno, poniendo en riesgo
 la operatividad e integridad del sistema.
 
 Para tratar de disminuir la creciente ola de incidentes el 'Area de 
 Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma
 inmediata la revisi'on de sus sistemas si se encuentra en ejecuci'on
 dicho servicio en su sistema y aplicar las medidas correspondientes.
 
 Si usted necesita usar el servicio amd, le recomendamos instalar la
'ultima versi'on, disponible en :


        SITIO ORIGINAL
 	ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/ 

 ________
 SOLUCION 
 --------

 Si sospechas que tu sistema se encuentra comprometido te recomendamos
 llevar acabo las siguientes acciones :

        1.- Convertirse en Superusuario (root).

                        % su -
                        Password:xxxxxx

        2.- Verificar que no existan varios procesos inetd en ejecuci'on.
        
        3.- Si llegase a existir, matar los procesos que no corresponden a
este servicio
                        #ps -fea | grep inetd

        root       344   0.0  0.4 1.93M  256K ?SW    0:00  (inetd)
        root      3170   0.0  0.4 1.93M  256K ?SW    0:00  inetd /tmp/h

                        #kill -9 3170

        4.- Revisar las bit'acoras dentro de /var/log/messages y buscar
la cadena correspondiente :

Feb  2 15:50:30 pato amd[423]: [truncated] amq requested mount of
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
Feb  2 15:50:31 pato inetd[18497]: extra conf for service 2222/tcp
(skipped)

	Esto nos indica que en tu sistema ha sido explotado esta
vulnerabilidad.

	5.- Revisar dentro del archivo /tmp, por lo general encontrar'as
un archivo llamado "h"(Puede variar), el cual contendr'a lo siguiente :

	[root en pato log]# cat /tmp/h
2222        stream  tcp     nowait  root    /bin/sh sh -i
2222        stream  tcp     nowait  root    /bin/sh sh -i

	6.- Una vez que verificaste que tu sistema si fue dan~ado, te
recomendamos lo siguiente :

	 Verifiques N'umero de Kernel
	 Verifiques versi'on de amd disponible

	7.- Una de las primeras opciones es desactivar el servicio de
portmap que usan los servicios RPC('esto se aplica a las m'aquinas que
no usan servicios como NIS 'o NFS), si tu m'aquina usa NIS 'o NFS ir a
paso 8.

	Esto lo puedes hacer con el programa llamado ntsysv, que por lo
general contienen los sistemas Linux, por lo general se encuantra
localizado bajo /usr/sbin/ntsysv.

	8. Si tu maquina usa NIS, NFS 'o alguna aplicaci'on que haga uso
de los RPC, te recomendamos usar la 'ultima versi'on del servicio
am-utils, disponible de:

		ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/ 

	Para llevar a cabo la instalaci'on te recomendamos llevar a cabo
los siguientes pasos :

	8.1. Bajar el software de la direcci'on indicada, descomprimir
el paquete :

		# gunzip am-utils-6.0.1.tar.gz 
        	# tar xf am-utils-6.0.1.tar 

	8.2. Ejecutar los siguientes comandos

		#cd am-utils-6.0.1
		#./buildall

	Esta opci'on tomar'a los par'ametros por default, si se desea
instalr en otro lugar indicarlo al momento de compilarlo.

	8.3. Instalarlo

		# make install

	8.4. Ejecutarlo.

	Asumiendo que se encuentra bajo /etc/amd.conf, s'olo tienes que
ejecutar :

                # /usr/local/sbin/ctl-amd restart 

                 
	Esto detendr'a la versi'on anterior del amd y reiniciar'a la nueva
versi'on.

        9.- Otra opci'on es aplicar los parches correspondientes, los
cuiales los puedes encontrar para sistemas Linux en la siguiente
direcci'on  en formato rpm para distintas  plataformas de Linux.

	http://www.redhat.com/corp/support/errata/RHSA1999032_O1.html 

 ________________
 INFORMACI'ON
 _______________
 
 Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
 
                'Area de Seguridad en C'omputo
                DGSCA- UNAM
                Tel : 56 22 81 69
                Fax : 56 22 80 43
                E-Mail : asc en asc.unam.mx 
                http://www.asc.unam.mx/boletines

Saludos
--JC GUEL








-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx

Más información sobre la lista de distribución Ayuda