Bolet'in de Seguridad 2000-001 (fwd)
Gunnar Wolf
gwolf en asc.unam.mx
Lun Feb 7 09:43:32 CST 2000
---------- Forwarded message ----------
Date: Fri, 4 Feb 2000 20:41:24 -0600 (CST)
From: Juan Carlos Guel Lopez <cguel en martini.super.unam.mx>
To: asc-avisos en asc.unam.mx
Cc: gasu en asc.unam.mx, ayuda en linux.org.mx
Subject: Bolet'in de Seguridad 2000-001
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Bolet'in de Seguridad 2000-001 Vulnerabilidad en amd
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
El 'Area de Seguridad en C'omputo de la Direcci'on General de
Servicios de C'omputo Acad'emico de la UNAM ha recibido en los 'ultimos
d'ias reportes comprendidos en el dominio .unam.mx, diversos indicios de
ataques que explotan vulnerabilidades en el servicio amd ( Automount ),
y que afecta principalmente a los sistemas Linux.
Fecha de Detecci'on en los EU : Septiembre 1999
Fecha de Detecci'on en M'exico : Enero 2000
'Ultima Revisi'on : Febrero 4 2000
Sistemas Afectados : Linux Red Hat 4.0, 5.0, 5.1, 6.0,
y aquellos con kernel 2.0.35 de
cualquier distribuci'on.
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
El 'Area de Seguridad en C'omputo ha detectado a ra'iz de diversos
reportes registrados durante el mes de Enero del 2000 diversos incidentes
de seguridad, en los cuales los intrusos hacen uso de una vulnerabilidad
en el programa amd, explotado principalmente en sistemas Linux(Kernel
2.0.35), haciendo uso de programas y vulnerabilidades en servicios RPC.
La forma de acceso a los equipos se realiza primeramente atrav'es de un
programa que funciona de forma remota, en el cual el se lanza una
petici'on al programa amd, forz'andolo de tal manera que ocasiona
un desbordamiento en el servicio, abortando la ejecuci'on con privilegios
de Superusuario.
En el mismo momento es enviado un programa con c'odigo, el cual levanta
una l'inea similar al del inetd.conf levantando un servicio en determinado
puerto, por lo general 2222 (puede variar de -2222 al 2222), provocando
dos demonios de inetd en ejecuci'on.
Una vez que es levantado el servicio por el puerto, se puede tener acceso
irrestricto a la maquina como Super Usuario.
Cabe sen~alar que esta vulnerabilidad es descrita de forma Original por el
CERT/CC y etiquetada como CA-99-12.
El documento original de esta Vulnerabilidad lo puedes encontrar en la
siguiente direcci'on :
http://www.cert.org/advisories/CA-99-12-amd.html
____________
IMPACTO
____________
El impacto que se tiene es que una vez explotada dicha vulnerabilidad se
puede tener acceso irrestricto dentro del equipo desde cualquier sitio y
poder controlar los sistemas sin dejar rastro alguno, poniendo en riesgo
la operatividad e integridad del sistema.
Para tratar de disminuir la creciente ola de incidentes el 'Area de
Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma
inmediata la revisi'on de sus sistemas si se encuentra en ejecuci'on
dicho servicio en su sistema y aplicar las medidas correspondientes.
Si usted necesita usar el servicio amd, le recomendamos instalar la
'ultima versi'on, disponible en :
SITIO ORIGINAL
ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/
________
SOLUCION
--------
Si sospechas que tu sistema se encuentra comprometido te recomendamos
llevar acabo las siguientes acciones :
1.- Convertirse en Superusuario (root).
% su -
Password:xxxxxx
2.- Verificar que no existan varios procesos inetd en ejecuci'on.
3.- Si llegase a existir, matar los procesos que no corresponden a
este servicio
#ps -fea | grep inetd
root 344 0.0 0.4 1.93M 256K ?SW 0:00 (inetd)
root 3170 0.0 0.4 1.93M 256K ?SW 0:00 inetd /tmp/h
#kill -9 3170
4.- Revisar las bit'acoras dentro de /var/log/messages y buscar
la cadena correspondiente :
Feb 2 15:50:30 pato amd[423]: [truncated] amq requested mount of
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
Feb 2 15:50:31 pato inetd[18497]: extra conf for service 2222/tcp
(skipped)
Esto nos indica que en tu sistema ha sido explotado esta
vulnerabilidad.
5.- Revisar dentro del archivo /tmp, por lo general encontrar'as
un archivo llamado "h"(Puede variar), el cual contendr'a lo siguiente :
[root en pato log]# cat /tmp/h
2222 stream tcp nowait root /bin/sh sh -i
2222 stream tcp nowait root /bin/sh sh -i
6.- Una vez que verificaste que tu sistema si fue dan~ado, te
recomendamos lo siguiente :
Verifiques N'umero de Kernel
Verifiques versi'on de amd disponible
7.- Una de las primeras opciones es desactivar el servicio de
portmap que usan los servicios RPC('esto se aplica a las m'aquinas que
no usan servicios como NIS 'o NFS), si tu m'aquina usa NIS 'o NFS ir a
paso 8.
Esto lo puedes hacer con el programa llamado ntsysv, que por lo
general contienen los sistemas Linux, por lo general se encuantra
localizado bajo /usr/sbin/ntsysv.
8. Si tu maquina usa NIS, NFS 'o alguna aplicaci'on que haga uso
de los RPC, te recomendamos usar la 'ultima versi'on del servicio
am-utils, disponible de:
ftp://shekel.mcl.cs.columbia.edu/pub/am-utils/
Para llevar a cabo la instalaci'on te recomendamos llevar a cabo
los siguientes pasos :
8.1. Bajar el software de la direcci'on indicada, descomprimir
el paquete :
# gunzip am-utils-6.0.1.tar.gz
# tar xf am-utils-6.0.1.tar
8.2. Ejecutar los siguientes comandos
#cd am-utils-6.0.1
#./buildall
Esta opci'on tomar'a los par'ametros por default, si se desea
instalr en otro lugar indicarlo al momento de compilarlo.
8.3. Instalarlo
# make install
8.4. Ejecutarlo.
Asumiendo que se encuentra bajo /etc/amd.conf, s'olo tienes que
ejecutar :
# /usr/local/sbin/ctl-amd restart
Esto detendr'a la versi'on anterior del amd y reiniciar'a la nueva
versi'on.
9.- Otra opci'on es aplicar los parches correspondientes, los
cuiales los puedes encontrar para sistemas Linux en la siguiente
direcci'on en formato rpm para distintas plataformas de Linux.
http://www.redhat.com/corp/support/errata/RHSA1999032_O1.html
________________
INFORMACI'ON
_______________
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en asc.unam.mx
http://www.asc.unam.mx/boletines
Saludos
--JC GUEL
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx
Más información sobre la lista de distribución Ayuda