[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Boletin de Seguridad 0004- Problemas con SSHD
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
El 'Area de Seguridad en C'omputo de la Direcci'on General de
Servicios de C'omputo Acad'emico de la UNAM ha recibido en las 'ultimas
semana diversos tipos de indicios de ataques que explotan el programa del
SSH ( Secure Shell ) en diversos sistemas operativos, principalmente
Irix y Solaris en s'olo algunas de sus versiones. Los reportes
indican que se usa dicha aplicaci'on pero modificada para poder tener
acceso a los equipos de forma irrestricta y sin dejar rastro alguno sobre
las bit'acoras de los equipos.
Fecha de Detecci'on en M'exico : Agosto 27 1999
'Ultima Revisi'on : Septiembre 3 1999
Sistemas Afectados : IRIX (5.3-6.2), Solaris (2.5.1), ya se
han reportado el mismo caso en sistemas
como Linux (Slackware Kernel
2.0.30 - 2.0.35) y FreeBSD 2.2
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
El 'Area de Seguridad en C'omputo ha detectado a ra'iz de incidentes
suscitados a finales del mes de Agosto de 1999 diversos escaneos en
toda la red comprendida en su dominio, proveniendo aparentemente del
exterior y en el cual las m'aquinas que suelen ser vulnerables son las
que son reportadas con Sistema Operativo Solaris e Irix ( Boletin
ASC-0002-99 y Boletin ASC-0003-99).
La forma de acceso a los equipos se realiza primeramente atrav'es de una
serie de escaneos en las redes. Si deseas saber m'as acerca de como
prevenir los escaneos en tu red puedes consultar los bolet'ines expedidos
por el CERT EU :
http://www.cert.org/incident_notes/IN-98.02.html
http://www.cert.org/incident_notes/IN-98-06.html
http://www.cert.org/incident_notes/IN-99-01.html
Una vez escaneada la red, se accesa a los sistemas de acuerdo a los
resultados presentados por los distintos rastreadores tales como MSCAN,
SSCAN entre otros. Los sistemas reportados principalmente son los IRIX y
SOLARIS.
Ya dentro del sistema lo que se realiza es bajar el programa SSH
(SECURE SHELL) en la versi'on 1.2.6, el cual contiene c'odigo modificado.
Los programas modificados son el SSHD, que es el demonio que est'a en
espera de nuevas conexiones.
Dentro del Demonio compilado y modificado se observa que se deja un
puerto abierto en especifico el puerto 31337, con un Password especificado
de entrada para las conexiones posteriores "sp1cs".
Las conexiones las realizan al puerto especificado, se desactiva el
cifrado de datos dentro del demonio y remotamente se puede accesar a las
m'aquinas sin dejar registro alguno. Ya que se desactiva el cifrado de
datos no se realiza el intercambio de llaves entre los servidores para
llevar a cabo una sesi'on segura y como resultado no registra las
conexiones.
____________
IMPACTO
____________
El impacto que se tiene es que una vez explotada dicha vulnerabilidad se
puede tener acceso irrestricto dentro del equipo desde cualquier sitio y
poder controlar los sistemas sin dejar rastro alguno y posteriormente
poder convertirse en Superusuario del sistema.
Para tratar de disminuir la creciente ola de incidentes el 'Area de
Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma
inmediata la revisi'on de sus sistemas si se encuenta dicha aplicaci'on y
bajar el Secure Shell de sitio Seguros como lo son :
SITIO ORIGINAL
ftp://ftp.funet.fi/pub/unix/security/login/ssh/
FTP del 'Area de Seguridad en C'omputo
ftp://ftp.asc.unam.mx/pub/tools/SSH/Unix/
'o atrav'es de uno de sus sitios oficiales
http://www.ssh.fi/sshprotocols2/download.html
_________________
SOLUCION TEMPORAL
-----------------
Si sospechas que tu sistema se encuentra comprometido te recomendamos
llevar acabo las siguientes acciones :
1.- Convertirse en Superusuario (root).
% su -
Password:xxxxxx
2.- Verificar que dentro de tu sistema no exista el c'odigo
del SSH 1.2.26 reci'en compilado y modificado.
Si llegase a existir aplicar los sigueintes pasos, si no ir al
paso 7.
3.- Verificar que no existan procesos del sshd.
4.- Si llegase a existir Matar los procesos.
#ps -fea | grep sshd
root 2150 0.0 0.4 1.93M 256K ?SW 0:00 sshd -i
root 3170 0.0 0.4 1.93M 256K ?SW 0:00 sshd -T
#kill -9 2150 3170
5.- Bajar el FTP de Un sitio Seguro y preferentemente de su sitio
Original, en el FTP del ASC de la UNAM existe el FTP con su
correspondiente firma.
#ftp ftp.asc.unam.mx
#get /pub/tools/SSH/Unix/ssh-1.2.26.tar.gz.md5_checksum
#get /pub/tools/SSH/Unix/ssh-1.2.26.tar.gz
Comparar el taman~o del archivo firmado con el que acaban de
bajar para tener la certeza de que se baja la aplicaci'on Original.
6.- Aplicar los pasos Necesrios para la instalaci'on del programa.
#./configure
#make
#make install
7.- Una vez instalado, Recomendamos revisar la m'aquina para
verificar que no ha sido comprometida en su totalidad, si no sabes como
hacerlo te recomendamos seguir los siguientes documentos:
http://www.cert.org/tech_tips/root_compromise.html
http://www.cert.org/tech_tips/intruder_detection_checklist.html
Los cuales describen la forma de llevar a cabo esta revisi'on y
que pr'oximamente estar'an en su versi'on en espan~ol en el
'Area de Seguridad en C'omputo de la DGSCA - UNAM
________________
INFORMACI'ON
_______________
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en conga super unam mx
http://www.asc.unam.mx/boletines
__________________________________________________________________________
Juan Carlos Guel L'opez
'Area de Seguridad en C'omputo E-mail: asc en ds5000 super unam mx
DGSCA, UNAM Tel.: 5622-8169 Fax: 5622-8043
Circuito Exterior, C. U. WWW: http://www.asc.unam.mx
04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx