[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- > . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . > > UNAM - CERT > > Departamento de Seguridad en Computo > > DGSCA- UNAM > > Boletin de Seguridad UNAM-CERT 2001-011 > > Gusano sadmind/IIS > . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . > > El UNAM-CERT y el CERT/CC, a trav'es de sus equipos de respuesta a > incidentes de Seguridad en C'omputo, han emitido este bolet'in en el cual > informan a la poblaci'on de un nuevo gusano que afecta a los sistemas > Solaris y los servidores web Microsoft IIS. > > El CERT/CC y el UNAM-CERT alertan a la poblaci'on de que este nuevo > elemento es capaz de auto-propagar c'odigo malicioso (referenciado > aqui como el gusano sadmind/IIS). El gusano utiliza dos vulnerabilidades > conocidas para comprometer sistemas y alterar p'aginas web. > > > Fecha de Liberaci'on: > 8 de Mayo del 2001 > Ultima Revisi'on: > 8 de Mayo del 2001 > Fuente: > CERT/CC y diversos reportes > de Equipos de Respuesta a > Incidentes, UNAM-CERT. > > , , , , , , , , , , , , > * Sistemas Afectados * > , , , , , , , , , , , , > > > * Sistemas ejecutando versiones no actualizadas de Microsoft IIS > > * Sistemas ejecutando versiones no actualizadas de Solaris, > incluyendo, Solaris 7 > > > , , , , , , , , , , , , , , , > * Descripci'on del Problema * > , , , , , , , , , , , , , , , > > En base a un anl'asis preliminar, el gusano sadmind/IIS explota > una vulnerabilidad en los sistemas Solaris y posteriormente instala > el software para atacar a los servidores web Microsoft IIS. Adem'as, este > incluye un componente para propagarse autom'aticamente a otros sistemas > Solaris vulnerables. Este gusano agregar "+ +" al archivo .rhosts en el > directorio home del Administrador. Finalmente, modificar el index.html > sobre el sistema Solaris anfitrion despu'es de haber comprometido los > sistemas IIS 2000. > > Para comprometer los sistemas Solaris, el gusano aprovecha una > vulnerabilidad de buffer overflow presentada dos an~os antes en el > programa Solstice sadmind. Para m'as informaci'on sobre esta > vulnerabilidad, se puede observar en: > > http://www.kb.cert.org/vuls/id/28934 > > http://www.cert.org/advisories/CA-1999-16.html > > Despu'es de comprometer a los sistemas Solaris, este gusano > utiliza una vulnerabilidad presentada hace siete meses para comprometer a > los sistemas IIS. Para informaci'on adicional sobre esta > vulnerabilidad, se puede consultar: > > http://www.kb.cert.org/vuls/id/111677 > > Los sistemas Solaris que son comprometidos por medio del gusano > presentan las siguientes caractersticas: > > A) Ejemplo de un registro syslog para un sistema Solaris comprometido > > May 7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus > Error - core dumped > May 7 02:40:01 carrier.domain.com last message repeated 1 time > May 7 02:40:03 carrier.domain.com last message repeated 1 time > May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: > Segmentation Fault - core dumped > May 7 02:40:03 carrier.domain.com last message repeated 1 time > May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: > Segmentation Fault - core dumped > May 7 02:40:08 carrier.domain.com inetd[139]:/usr/sbin/sadmind: Hangup > May 7 02:40:08 carrier.domain.com last message repeated 1 time > May 7 02:44:14 carrier.domain.com inetd[139]:/usr/sbin/sadmind: Killed > > > B) Un programa rootshell en el puerto 600 de TCP > > C) Existencia de los directorios > /dev/cub contiene los registros de las m'aquinas comprometidas > /dev/cuc contiene herramientas que utiliza el gusano para operar y > propagarse > > D) Ejecuci'on de procesos de los scripts asociados con el > gusano, como los siguientes: > > /bin/sh /dev/cuc/sadmin.sh > /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111 > /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80 > /bin/sh /dev/cuc/uniattack.sh > /bin/sh /dev/cuc/time.sh > /usr/sbin/inetd -s /tmp/.f > /bin/sleep 300 > > E) Los servidores Microsoft IIS que son comprometidos presentan las > siguientes caractersticas: > > Las p'aginas web modificadas se leen como se muestra a > continuaci'on: > > fuck USA Government > fuck PoizonBOx > contact:sysadmcn en yahoo com cn > > E) Ejemplo de registro de un Servidor IIS atacado > > > 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET > /scripts/../../winnt/system32/cmd.exe /c+dir 200 - > 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET > /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 - > 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET > /scripts/../../winnt/system32/cmd.exe > /c+copy+\winnt\system32\cmd.exe+root.exe 502 - > 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET > /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 - > > > , , , , , , > * Impacto * > , , , , , , > > > Los sistemas Solaris comprometidos por este gusano son utilizados > para escanear y comprometer a otros sistemas Solaris e IIS. Los > sistemas IIS comprometidos por este gusano pueden ser modificados en su > contenido web. > > Los intrusos pueden utilizar las vulnerabilidades explotadas por > este gusano para ejecutar c'odigo arbitrario con privilegios de > Admnistrador en sistemas Solaris vulnerables, y comandos arbitrarios con > los privilegios de la cuenta IUSR_machinename en sistemas Windows > vulnerables. > > Recibimos informes de otra actividad, incluyendo un informe de > archivos que han sido destrudos en las mquinas Windows comprometidas, > dejandolas incapaces de volver a iniciar el sistema. No se sabe claramente > si esta actividad se relaciona directamente con este gusano. > > > , , , , , , , > * SOLUCIONES * > , , , , , , , > > * Un parche de Microsoft est disponible en: > http://www.microsoft.com/technet/security/bulletin/MS00-078.asp > > * Para la versin 4 de IIS: > http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp > > * Para la versin 5 de IIS: > http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp > > > Asesoramiento adicional en la seguridad de servidores web IIS > esta disponible en: > > http://www.microsoft.com/technet/security/iis5chk.asp > http://www.microsoft.com/technet/security/tools.asp > > * Aplicar un parche para Sun Microsystems como el descrito en > Bolet'in #00191 de Sun Security: > > http://sunsolve.sun.com/pub-cgi/retrieve.pl? > doctype=coll&doc=secbull/191&type=0&nav=sec.sba > > > > ------------------------------------ > APENDICE A : Informacion Adicional > ------------------------------------ > > > Microsoft Corporation > --------------------- > > Los siguientes documentos en cuanto a esta vulnerabilidad > est'an disponibles de Microsoft: > > http://www.microsoft.com/technet/security/bulletin/MS00-078.asp > > > Sun Microsystems > ---------------- > > Sun ha publicado el siguiente boletin para esta vulnerabilidad: > http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba > > > , , , , , , , > * INFORMACION * > , , , , , , , > > Este documento se encuentra disponible en su formato original en > la siguiente direcci'on: > > http://www.cert.org/advisories/CA-2001-11.html > > Para mayor informaci'on acerca de este bolet'in de seguridad > contactar a: > > .,,,,,,,,,, > ,?H1H919191919191S,. > ,d1H9191919191919111119S>. > ?H9H919191919191919191919111S. UNAM CERT > ,H9H919H&''`"|*H9191919191919111> > ,HH919H&' ` ``+1&'` ```+91919S1b Equipo de Respuesta a Incidentes UNAM > iHM11191? ` ` ` `` J19HS `1919H11S > .HH919191S ` 4191& J9191919> Departamento de Seguridad en Computo > |MH91119111S ` ``"'` ,19191911S > JMH9191919191> ` ` `+191919111 DGSCA - UNAM > 1MH919H919/`' ` ` ` `*1919111- > |MH9191919+` ,J$ ` ` `|919191 > :MH91919$' ,1+` . ` ` `i1H911$ > 9HM1919,` ,1$' |9>,.` ,19191H E-Mail : seguridad en seguridad unam mx > `4MH9191:,1$' `,1b?J1191>,?,,191119H' http://www.unam-cert.unam.mx > `*HM19H91S_: `91919191919191919HH' http://www.seguridad.unam.mx > `|9HMH9191111>119191919H919191M+` ftp://ftp.seguridad.unam.mx > `+9HMH9191919191919191919HM+' Tel : 56 22 81 69 > ``*MMH9H919H919H919HMH*'` Fax : 56 22 80 43 > ``*+#HMHMHMHHd*'" > -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBOvi1XXAvLUtwgRsVAQGCCAf/cqoBEVe8l4Wj+0rTZ6y2wr5wKzkrdUXV wPhVr6AWFGkLX4xhN4NF2uW22kwremv03PpfXp6MkkoP1bjz5+WCBIxays2ZlgJ6 9joEIYcg9r/D7iKN2szlOBVZqt483CfxFIhQXb47gCdF28GnazbXS7PjMvi6pnWK 244sw6LMpEiVjndGjzgAg4kWZV8Sx8HhLBScNLnE62GVT7c5Z8PM8AjShZ6ei5cl tOkVNmZEu8uIOXjnOZG31hSAkvVv1sQ2qtyZ5oLDzN1BaXoeYMavgR22ChHKjBf1 +Pb7udEufNVFdSb0LS4GTeR1E2m/sT0fiSJGZAd1544NmAxPaLfGfw== =6bhd -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx