Nota ASC 2000-004

Area de Seguridad en Computo asc en asc.unam.mx
Lun Sep 18 00:51:34 CDT 2000


-----BEGIN PGP SIGNED MESSAGE-----

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                  Departamento de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
                   Notas de Seguridad ASC 2000-004

      Uso y explotaci'on de las vulnerabilidades rpc.statd y wu-ftpd
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


En las ultimas horas se han reportado diversos indicios que indican
actividad de intrusos tratando de explotar y  usar dos recientes
vulnerabilidades. El nivel de actividad y el objetivo de los ataques
indican que los intrusos se encuentran usando programas
automaticos(scripts) y herramientas llamadas toolkits que les permiten
automatizar los ataques.

El CERT/CC de los los Estados unidos pone en alerta a todos los Equipos de
Respuesta a incidentes, administradores, Responsables de redes y de la
Seguridad de los sistemas a estar alerta ente este tipo de ataques y
explotaci'on de dichas vulnerabilidades. 

Estas vulnerabilidades conocidas en este tipo de ataques fueron descritas
en los boletines :

	* boletin-asc-2000-0009 Problemas en la Validaci'on del programa 
	rpc.statd 
	Agosto 28,2000

	* boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de
	entradas en el programa FTPD. 
	Julio 18,2000

De las dos vulnerabilidades descritas en el boletin-asc-2000-008, la
vulnerabilidad "site exec" es la unica que se esta presentando y siendo
reportada acitva.

DESCRIPCION
- -----------

Diversos sitios reportan estar comprometidos con una de estas
vulnerabilidades, en la mayoria de los casos cientos de equipos
comprometidos con estas dos vulnerabilidades. Dentro del patron de
comportamiento de dichos casos parece que los intrusos estan usando
herramientas automaticas para probar y buscar equipos vulnerables y una
vez localizados explotar las vulnerabilidades en una gran cantiddad de
equipos vulnerables.

De estos equipos vulnerables una gran cantidad corresponde a los sistemas
con sistema operativo Red Hat Linux. Configuraciones instaladas por
default de forma insegura en algunas versiones especialmente las del
servicio rpc.statd el cual es habilitado por default en los procesos de
instalaci'on y actualizaci'on del Sistema, han contribuido a la exitosa
distribucion de estos tipos de ataques.

Los intrusos buscan por maquinas vulnerables y por lo general buscan como
objetivo principal los siguientes servicios :

sunrpc (Por ejemplo) en puertos 111/udp y 111/tcp 
ftp en port 21/tcp 

en la mayor'ia de los casos se reporta que una ves rastreados estos
servicios y puertos se lanza el exploit dirigido a los servicios rpc.statd
y wu-ftpdde forma inmediata para poder tener acceso. 

Una vez que que los equipos son comprometidos, existen diversos patrones
de comportamiento presentado por los intrusos y que generalmente incluyen
la instalaci'on de los siguientes scripts y toolkits.

	* 't0rnkit' rootkit 

	Desde mayo del 2000 se han observado mas de seis diferentes
versiones del rootkit llamado 't0rnkit', 'o 'tornkit'. Lo importante es
estar prevenido ante este tipo de multiples mutaciones del rootkit llamado
'tornkit' y revisar continuamente nuestros sistemas, sobre todo con los
pasos que dicho script lleva a cabo al momento de intentar explotar la
actividad y si nuestro sistema fue comprometido llevar a cabo la
recuperacion y los pasos necesarios para restablecerlo. Los pasos que
'tornkit' lleva a cabo para lograr la intrusion son los siguientes:


	* Termina ejecuci'on de  syslogd

	* Alerta el intruso acerca de redireccionamiento de bitacoras, por
medio de verificar en el archivo de configuracion del syslog por el
caracter '@'.
	
	* Almacenamiento de contrasen~as, por medio e un caballo de troya
dentro del programa /etc/ttyhash

	* Instalacion de caballos de troya del programa sshd, configurado
para poder escuchar en un numero de  puerto especificado por el intrusocon
las llaves almacenadas y proporcionadas por el intruso dentro del
directorio llamado '/usr/info/.t0rn'. El binario del caballo de troya es
instalado como /usr/sbin/nscd e iniciado con los siguientes parametros 
'/usr/sbin/nscd -q'. El mismo comando es an~adido al archivo /etc/rc.d/rc.sysinit
para iniciar el programa de forma autom'atica al momento de iniciar el
sistema.

	* Localizaci'on de archivos de configuraci'on de los caballos de
troya para ocultar nombres de archivos, nombres de procesos, etc. Estos
por lo general se presentan dentro del directorio llamado
'/usr/src/.puta'.

	* Reemplazo de los siguientes archivos binarios del sistema
colocando en su lugar caballos de troya de los siguientes comandos:

	/bin/login 
	/sbin/ifconfig 
	/bin/ps 
	/usr/bin/du 
	/bin/ls 
	/bin/netstat 
	/usr/sbin/in.fingerd 
	/usr/bin/find 
	/usr/bin/top 

	* Instalaci'on de un sniffer capturador de contrasen~as, de un
archivo almacenador de contrasen~as y un acrhico que borra las entradas al
sistema y que generalmete se encuentra bajo /usr/src/.puta.

	* Intentos para habilitar los servicios telnet, shell y finger
bajo /etc/inetd.conf, borrando el caracter que comenta dichos servicios,
por lo general con los simbolos '#'.

	* Alerta al intruso de posibles tokens dentro del archivo
/etc/hosts.deny con el caracter 'ALL'.

	* Reinicio del programa /usr/sbin/inetd

	* Reinicio del programa syslogd

La mayoria de las versiones tambien incluyen una version del tcp-wrappers
pero contenida dentro de ella un caballo de troya en formato RPM, comun
mente llamado 'tcpd.rpm'. Existe evidencia que este toolkit 't0rnkit' ha
sido modificado y esta siendo modificado en la actualidad con lo que puede
presentar diversos patrones de comportamiento.
 

Herramientas de Negaci'on de Servicio Distribuidas.
- --------------------------------------------------

En adicion a la instalacion de los programas rootkits, se han detectado
una creciente instalacion de herramientas de negacion de servicios de
forma distribuida (DDoS) en los equipos comprometidos con estas dos
vulnerabilidades (rpc.statd y wu-ftpd). Como dato cabe sen\alar que un
incidente seguido por el CERT/CC se detectaron mas de 560 equipos
involucrados a traves de 220 sitios distintos del Internet alrededor del
mundo, con la herramienta de Negacion de servicios de red llamada  Tribe
Flood Network 2000 (TFN2K). LAs herramientas mas comunmente encontradas
del tipo DDoS en dichos incidentes se encuentran principalmente:

	Tribe Flood Network (TFN) - 
	Tribe Flood Network 2000 (TFN2K) - 
	Stacheldraht 1.666+smurf+yps -

Si deseas mas informacion acerca de los ataques del tipo Negacion de
Servicio, te recomendamos consultar el documento elaborado por la gente
del CERT/CC, disponible en :

http://www.cert.org/reports/dsit_workshop-final.html


IMPACTO
- -------

La combinaci'on de ambas vulnerabilidades, as'i como la automatizaci'on de
las mismas ha provocado en los recientes d'ias un incremento en la
actividad de los reportes de incidentes a nivel mundial que son reportados
por todos los equipos de respuesta a incidentes y a estos incidentes se
asocia la inclusion de las herramientas del tipo DDoS lo cual representa
un riego significante hacia los sitios del Internet y hacia la
infraestructura de la red.


Soluciones
- ----------

El CERT/CC y el Departamento de Seguridad en Computo de la UNAM
recomiendan a todos los Administradores, responsables de las Redes,
equipos yd e la Seguridad de los sistemas a que revisen el
boletin-asc-2000-0009 Problemas en la Validaci'on del programa rpc.statd,
asi como boletin-asc-2000-0008 Vulnerabilidad en la Validaci'on de
entradas en el programa FTPD, ambos disponibles en su version en espan~ol
en www.asc.unam.mx.

De igual forma recomendamos aplicar los parches correspondientes para cada
prolema en especifico, as'i como aplicar las medidas preventivas para
minimizar los riesgos a los que puede estar nuestros sistemas.

INFORMACION
- ------------

Para mayor informaci'on acerca de esta nota de seguridad contactar a:

                Departamento de Seguridad en C'omputo
                	  DGSCA- UNAM
              
		Tel : 56 22 81 69
                Fax : 56 22 80 43
                E-Mail : asc en asc.unam.mx 
                http://www.asc.unam.mx/
		ftp://ftp.asc.unam.mx


- ---
Juan Carlos Guel L'opez
Departamento de Seguridad en C'omputo   E-mail: asc en conga.super.unam.mx
DGSCA, UNAM                             Tel.: 5622-81-69  Fax: 5622-80-43
Circuito Exterior, C. U.                WWW: http://www.asc.unam.mx/
04510 Mexico D. F.                      PGP: finger
				        asc en ds5000.super.unam.mx 

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i

iQEVAwUBOcWtfT6HeEeO/+C1AQFDOQgAgIbrfdPCHW34uKZ28OiiZFQBRhea7Z1O
QjTk7snX/VZrllzoaOpRA0eHkDScV9bGR5KleXcxfP1JN5AOfBEj0pUx1qVKD3/i
yKJPBzTxAwFWlOarF2EJghwzyQJUV8dIhPbI2k9p3e25AuF3aBncJawmYBLUlVgT
ppWpjRn5yB7cUNANBrU/dmV65UgxV38D2G2tkW10JC/68P0ebxCmRui4NAFcye2R
gOPdy5nA/ne1Uiof/4ALlBhvFO36/FO6afPmxAKRmJNWyZvWhAUN09n4gYmppaOb
6Hu+lC0X/m7ne/tlETOCpRlDkfJPWg67LR5i8k8jf/mJjfGM4wpHgg==
=bYNo
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx



Más información sobre la lista de distribución Ayuda