Nota de Seguridad ASC-2000-002

Area de Seguridad en Computo asc en asc.unam.mx
Lun Sep 4 02:26:20 CDT 2000 

-----BEGIN PGP SIGNED MESSAGE-----


 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                   'Area de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
                   Notas de Seguridad ASC 2000-002

     Sistemas Comprometidos debido a falla en el demonio telnetd  IRIX 
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

 En las ultimas horas, se han recibido ante los organismos de seguridad
diversos reportes que indican una posible falla y explotaci'on de un
hueco de seguridad en el demonio telnetd de los sistemas operativos IRIX.


RESUMEN
- ---------

Se reporta que en las ultimas horas de diverss partes del mundo la
explotaci'on de la vulnerabilidad del demonio telnetd de los sistemas
operativos IRIX. Dicha explotaci'on  da como resultado que los equipos
con dicho sistema operativo puedan estar comprometidos de forma remota.

Para mayor informaci'on acerca de esta vulnerabilidad recomendamos leer 
los siguientes alertas que el equipo de Seguridad de  SGI  ha emitido
hasta el momento y que puedes consultar en la siguiente direcci'on :

http://www.securityfocus.com/bid/1572 


DESCRIPCION
- ------------

Los principales reportes que indican la prescencia de esta vulnerabilidad
dentro del deminio del telnetd presentan el siguiente patron de
comportamiento.

1. Ejemplo de explotacion en los archivos syslog

overly long syslog message detected, truncating
telnetd[xxxxx]: ignored attempt to setenv (_RLD,     ^?D^X^\    
^?D^X^^   ^D^P^?^?$^B^Cs#^?^B^T#d~^H#e~^P/d~^P/`~^T#`~^O
^C ^?^?L/bin/sh

'o con la leyenda....
 
overly long syslog message, integrity compromised, aborting

2. Creacion de cuentas con privilegios de Superusuario (root) dentro de la
tabla /etc/passwd

3. Instalacion de posibles programas de puertas traseras, rootkits, etc.

4. Instalacion de capturadores de red (Sniffers)

5. Instalacion de programas que actuan como proxy's, tales como bnc


SOLUCION
- --------

1. Aplicar el parche correspondiente.

Al momento de emitir esta nota de seguridad el equipo de seguridad de SGI
aun no ha emitido el parche correspondiente a esta
vulnerabilidad. Recomendamos a todos aquellos Administradores y encargados
de la seguridad de los sistemas que contengan dicho sistema Operativo que
esten pendientes de la publicacion del parche correspondiente y que a su
vez contacten a sus distribuidores SGI. Mientras tanto recomendamos
medidas preventivas en el uso del servicios telnet.

2. Restringir el acceso del servicio telnet.

Se recomienda el uso y restriccion de mecanismos d control de acceso del
servicio telnet, usando diversos mecanismos de seguridad, tales como
filtrado de paquetes, Firewalls o controles a nivel aplicacion para
disminuir el riesgo latente a esta vulnerabilidad.

Como una recomendable medida de seguridad el 'Area de Seguridad en Computo
de la UNAM, recomienda bloquear los puertos y servicios no necesarios
dentro de sus sistemas. En particular para esta vulnerabilidad desactivar
y bloquear el puerto TCP 23 (telnet).

Para una mejor descripci'on de los servicios y puertos te recomendamos
leer el tutorial disponible en la siguiente direcci'on:

Tutorial : Deteccion de Intrusos

URL : http://www.asc.unam.mx

Para los sitios los cuales no sea esta una solucion practica, recomendamos
aplicar mecanismos de control de acceso, tales como tcp_wrappers 'o
tcpserver.

Si no sabes como aplicar un mecanismo de control, te recomendamos consltar
el manual de instalaci'on del mecanismo de control de acceso tcp_wrapper,
disponible en :

http://www.asc.unam.mx

La herramienta tcp_wrappers la puedes encontrar en la siguiente
direcci'on:
ftp://ftp.asc.unam.mx
ftp://ftp.porcupine.org/pub/security/index.html 

La aplicacion tcpserver la puedes obtener de :
http://cr.yp.to/ucspi-tcp.html 

Si sospechas que tu sistema ha sido comprometido, te recomendamos
desactivar tu sistema de la red, y llevar a cabo los pasos descritos en el
tutorial de deteccion de intrusos, sen~alado anteriormente para la
recuperacion de tu sistema.

INFORMACION
- -----------

Para mayor informaci'on acerca de esta nota de seguridad contactar a:

                'Area de Seguridad en C'omputo
                DGSCA- UNAM
                Tel : 56 22 81 69
                Fax : 56 22 80 43
                E-Mail : asc en asc.unam.mx 
                http://www.asc.unam.mx/
		ftp://ftp.asc.unam.mx


- ---
Juan Carlos Guel L'opez
Area de Seguridad en C'omputo   E-mail: asc en asc.unam.mx
DGSCA, UNAM                     Tel.: 5622-81-69  Fax: 5622-80-43
Circuito Exterior, C. U.        WWW: http://www.asc.unam.mx/
04510 Mexico D. F.              PGP: finger asc en ds5000.super.unam.mx 

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQEVAwUBObNOqj6HeEeO/+C1AQGX2ggAqfJkCTRryF+q07616PexjfRLeD+ptTN5
9J4xdyJNkMhZX0Z3G5k1v50wAdaM9GwzApH72U4dFMbzrvLo722HF7Yjr8vDCGmp
hL3IRPK5mCD89/WL7QC3GL0io9bgis1hOEcVSP4Q55nNgivJk3uQ4ATRL9BuLows
hMAo+0mJMxqbLk051tGJDWxSEUGDLs5182rGjLAoDtjFIgyC9cLnXIPq2FTICi2j
qfMr3/6npFDM+9OSZEi8Yd9QGb1Zbs/mMP1OAYHOzsEUVT9AoRND+f9FZ8m68coN
kb7sHkVbbj8ZeA4gUORfaDq6ImJ8EfHsJCztAP/FPp30rM2/Bb3o6A==
=tFHZ
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx

Más información sobre la lista de distribución Ayuda