Boletin UNAM-CERT 2001-011

Seguridad en Computo - UNAM dsc en seguridad.unam.mx
Mar Mayo 8 22:11:18 CDT 2001 

-----BEGIN PGP SIGNED MESSAGE-----

>  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
> 
>                              UNAM - CERT
> 
>                   Departamento de Seguridad en Computo
> 
>                             DGSCA- UNAM
> 
>                  Boletin de Seguridad UNAM-CERT 2001-011
> 
>                 	   Gusano sadmind/IIS
>   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
> 
> El UNAM-CERT y el CERT/CC, a trav'es de sus equipos de respuesta a
> incidentes de Seguridad en C'omputo, han emitido este bolet'in en el cual
> informan a la poblaci'on de un nuevo gusano que afecta a los sistemas
> Solaris y los servidores web Microsoft IIS.
> 
> El CERT/CC y el UNAM-CERT alertan a la poblaci'on de que este nuevo
> elemento es capaz de auto-propagar c'odigo malicioso (referenciado
> aqui como el gusano sadmind/IIS). El gusano utiliza dos vulnerabilidades
> conocidas para comprometer sistemas y alterar p'aginas web.
> 
> 
>            Fecha de Liberaci'on:
>                                          8 de Mayo del 2001
>            Ultima Revisi'on:
>                                          8 de Mayo del 2001
>            Fuente:
>                                          CERT/CC y diversos reportes
>                                          de Equipos de Respuesta a
>                                          Incidentes, UNAM-CERT.
> 
> , , , , , , , , , , , ,
> * Sistemas Afectados  *
> , , , , , , , , , , , ,
> 
> 
>           * Sistemas ejecutando versiones no actualizadas de Microsoft IIS
> 
>           * Sistemas ejecutando versiones no actualizadas de Solaris,
> 	    incluyendo, Solaris 7
> 
> 
> , , , , , , , , , , , , , , ,
> * Descripci'on del Problema *
> , , , , , , , , , , , , , , ,
> 
>           En base a un anl'asis preliminar, el gusano sadmind/IIS explota
> una vulnerabilidad en los sistemas Solaris y posteriormente instala
> el software para atacar a los servidores web Microsoft IIS. Adem'as, este
> incluye un componente para propagarse autom'aticamente a otros sistemas
> Solaris vulnerables. Este gusano agregar "+ +" al archivo .rhosts en el
> directorio home del Administrador. Finalmente, modificar el index.html
> sobre el sistema Solaris anfitrion despu'es de haber comprometido los
> sistemas IIS 2000.
> 
>           Para comprometer los sistemas Solaris, el gusano aprovecha una
> vulnerabilidad de buffer overflow presentada dos an~os antes en el
> programa Solstice sadmind. Para m'as informaci'on sobre esta
> vulnerabilidad, se puede observar en:
> 
>                     http://www.kb.cert.org/vuls/id/28934
> 
>                     http://www.cert.org/advisories/CA-1999-16.html
> 
>           Despu'es de comprometer a los sistemas Solaris, este gusano
> utiliza una vulnerabilidad presentada hace siete meses para comprometer a
> los sistemas IIS. Para informaci'on adicional sobre esta
> vulnerabilidad, se puede consultar:
> 
>                     http://www.kb.cert.org/vuls/id/111677
> 
>           Los sistemas Solaris que son comprometidos por medio del gusano
> presentan las siguientes caractersticas:
> 
>     A) Ejemplo de un registro syslog para un sistema Solaris comprometido
> 
> 	May  7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus
> 	Error - core dumped
> 	May  7 02:40:01 carrier.domain.com last message repeated 1 time
> 	May  7 02:40:03 carrier.domain.com last message repeated 1 time
> 	May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind:
> 	Segmentation Fault - core dumped
> 	May  7 02:40:03 carrier.domain.com last message repeated 1 time
> 	May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind:
> 	Segmentation Fault - core dumped
> 	May  7 02:40:08 carrier.domain.com inetd[139]:/usr/sbin/sadmind: Hangup
> 	May  7 02:40:08 carrier.domain.com last message repeated 1 time
> 	May  7 02:44:14 carrier.domain.com inetd[139]:/usr/sbin/sadmind: Killed
> 
> 
>     B) Un programa rootshell en el puerto 600 de TCP
> 
>     C) Existencia de los directorios
> 	/dev/cub contiene los registros de las m'aquinas comprometidas
> 	/dev/cuc contiene herramientas que utiliza el gusano para operar y
> 	propagarse
> 
>     D) Ejecuci'on de procesos de los scripts asociados con el
> gusano, como los siguientes:
> 
>  	/bin/sh /dev/cuc/sadmin.sh
> 	/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
> 	/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
> 	/bin/sh /dev/cuc/uniattack.sh
> 	/bin/sh /dev/cuc/time.sh
> 	/usr/sbin/inetd -s /tmp/.f
> 	/bin/sleep 300
> 
>     E) Los servidores Microsoft IIS que son comprometidos presentan las
> siguientes caractersticas:
> 
>         Las p'aginas web modificadas se leen como se muestra a
> continuaci'on:
> 
> 		fuck USA Government
> 		fuck PoizonBOx
> 		contact:sysadmcn en yahoo.com.cn
> 
>     E) Ejemplo de registro de un Servidor IIS atacado
> 
> 
>        2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET
> /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
>        2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET
> /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
>        2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET
> /scripts/../../winnt/system32/cmd.exe
> /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
>        2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET
> /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 -
> 
> 
> , , , , , ,
> *  Impacto *
> , , , , , ,
> 
> 
> 	Los sistemas Solaris comprometidos por este gusano son utilizados
> para escanear y comprometer a otros sistemas Solaris e IIS. Los
> sistemas IIS comprometidos por este gusano pueden ser modificados en su
> contenido web.
> 
>         Los intrusos pueden utilizar las vulnerabilidades explotadas por
> este gusano para ejecutar c'odigo arbitrario con privilegios de
> Admnistrador en sistemas Solaris vulnerables, y comandos arbitrarios con
> los privilegios de la cuenta IUSR_machinename en sistemas Windows
> vulnerables.
> 
>         Recibimos informes de otra actividad, incluyendo un informe de
> archivos que han sido destrudos en las mquinas Windows comprometidas,
> dejandolas incapaces de volver a iniciar el sistema. No se sabe claramente
> si esta actividad se relaciona directamente con este gusano.
> 
> 
> , , , , , , ,
> *  SOLUCIONES *
> , , , , , , ,
> 
>           * Un parche de Microsoft est disponible en:
> 	http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
> 
>           * Para la versin 4 de IIS:
> 	http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
> 
>           * Para la versin 5 de IIS:
> 	http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
> 
> 
>           Asesoramiento adicional en la seguridad de servidores web IIS
> 	  esta disponible en:
> 
>                     http://www.microsoft.com/technet/security/iis5chk.asp
>                     http://www.microsoft.com/technet/security/tools.asp
> 
>           * Aplicar un parche para Sun Microsystems como el descrito en
> 	Bolet'in #00191 de Sun Security:
> 
>                     http://sunsolve.sun.com/pub-cgi/retrieve.pl?
> doctype=coll&doc=secbull/191&type=0&nav=sec.sba
> 
> 
> 
> ------------------------------------
>  APENDICE A : Informacion Adicional
> ------------------------------------
> 
> 
> 	Microsoft Corporation
> 	---------------------
> 
>         Los siguientes documentos en cuanto a esta vulnerabilidad
> 	est'an disponibles de Microsoft:
> 
> 	http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
> 
> 
>         Sun Microsystems
> 	----------------
> 
>         Sun ha publicado el siguiente boletin para esta vulnerabilidad:
>         http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
> 
> 
>  , , , , , , ,
>  * INFORMACION *
>  , , , , , , ,
> 
>  	Este documento se encuentra disponible en su formato original en
> la siguiente direcci'on:
> 
>                http://www.cert.org/advisories/CA-2001-11.html
> 
>         Para mayor informaci'on acerca de este bolet'in de seguridad
> contactar a:
> 
>               .,,,,,,,,,,
>           ,?H1H919191919191S,.
>        ,d1H9191919191919111119S>.
>      ?H9H919191919191919191919111S.                  UNAM CERT
>    ,H9H919H&''`"|*H9191919191919111>
>   ,HH919H&'  `   ``+1&'` ```+91919S1b     Equipo de Respuesta a Incidentes UNAM
>  iHM11191? ` ` `   ``  J19HS `1919H11S
> .HH919191S   `         4191&  J9191919>   Departamento de Seguridad en Computo
> |MH91119111S       `   ``"'` ,19191911S
> JMH9191919191>         ` `  `+191919111             DGSCA - UNAM
> 1MH919H919/`'  `       `   `  `*1919111-
> |MH9191919+`   ,J$   `       ` `|919191
> :MH91919$'    ,1+`   . `   `   `i1H911$
>  9HM1919,`  ,1$'    |9>,.`     ,19191H     E-Mail : seguridad en seguridad.unam.mx
>  `4MH9191:,1$' `,1b?J1191>,?,,191119H'     http://www.unam-cert.unam.mx
>   `*HM19H91S_:  `91919191919191919HH'      http://www.seguridad.unam.mx
>    `|9HMH9191111>119191919H919191M+`       ftp://ftp.seguridad.unam.mx
>      `+9HMH9191919191919191919HM+'         Tel : 56 22 81 69
>        ``*MMH9H919H919H919HMH*'`           Fax : 56 22 80 43
>            ``*+#HMHMHMHHd*'"
> 

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBOvi1XXAvLUtwgRsVAQGCCAf/cqoBEVe8l4Wj+0rTZ6y2wr5wKzkrdUXV
wPhVr6AWFGkLX4xhN4NF2uW22kwremv03PpfXp6MkkoP1bjz5+WCBIxays2ZlgJ6
9joEIYcg9r/D7iKN2szlOBVZqt483CfxFIhQXb47gCdF28GnazbXS7PjMvi6pnWK
244sw6LMpEiVjndGjzgAg4kWZV8Sx8HhLBScNLnE62GVT7c5Z8PM8AjShZ6ei5cl
tOkVNmZEu8uIOXjnOZG31hSAkvVv1sQ2qtyZ5oLDzN1BaXoeYMavgR22ChHKjBf1
+Pb7udEufNVFdSb0LS4GTeR1E2m/sT0fiSJGZAd1544NmAxPaLfGfw==
=6bhd
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx

Más información sobre la lista de distribución Ayuda