[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 'Area de Seguridad en C'omputo DGSCA- UNAM Boletin de Seguridad 0004- Problemas con SSHD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El 'Area de Seguridad en C'omputo de la Direcci'on General de Servicios de C'omputo Acad'emico de la UNAM ha recibido en las 'ultimas semana diversos tipos de indicios de ataques que explotan el programa del SSH ( Secure Shell ) en diversos sistemas operativos, principalmente Irix y Solaris en s'olo algunas de sus versiones. Los reportes indican que se usa dicha aplicaci'on pero modificada para poder tener acceso a los equipos de forma irrestricta y sin dejar rastro alguno sobre las bit'acoras de los equipos. Fecha de Detecci'on en M'exico : Agosto 27 1999 'Ultima Revisi'on : Septiembre 3 1999 Sistemas Afectados : IRIX (5.3-6.2), Solaris (2.5.1), ya se han reportado el mismo caso en sistemas como Linux (Slackware Kernel 2.0.30 - 2.0.35) y FreeBSD 2.2 , , , , , , , , , , , , , , , * Descripci'on del Problema * , , , , , , , , , , , , , , , El 'Area de Seguridad en C'omputo ha detectado a ra'iz de incidentes suscitados a finales del mes de Agosto de 1999 diversos escaneos en toda la red comprendida en su dominio, proveniendo aparentemente del exterior y en el cual las m'aquinas que suelen ser vulnerables son las que son reportadas con Sistema Operativo Solaris e Irix ( Boletin ASC-0002-99 y Boletin ASC-0003-99). La forma de acceso a los equipos se realiza primeramente atrav'es de una serie de escaneos en las redes. Si deseas saber m'as acerca de como prevenir los escaneos en tu red puedes consultar los bolet'ines expedidos por el CERT EU : http://www.cert.org/incident_notes/IN-98.02.html http://www.cert.org/incident_notes/IN-98-06.html http://www.cert.org/incident_notes/IN-99-01.html Una vez escaneada la red, se accesa a los sistemas de acuerdo a los resultados presentados por los distintos rastreadores tales como MSCAN, SSCAN entre otros. Los sistemas reportados principalmente son los IRIX y SOLARIS. Ya dentro del sistema lo que se realiza es bajar el programa SSH (SECURE SHELL) en la versi'on 1.2.6, el cual contiene c'odigo modificado. Los programas modificados son el SSHD, que es el demonio que est'a en espera de nuevas conexiones. Dentro del Demonio compilado y modificado se observa que se deja un puerto abierto en especifico el puerto 31337, con un Password especificado de entrada para las conexiones posteriores "sp1cs". Las conexiones las realizan al puerto especificado, se desactiva el cifrado de datos dentro del demonio y remotamente se puede accesar a las m'aquinas sin dejar registro alguno. Ya que se desactiva el cifrado de datos no se realiza el intercambio de llaves entre los servidores para llevar a cabo una sesi'on segura y como resultado no registra las conexiones. ____________ IMPACTO ____________ El impacto que se tiene es que una vez explotada dicha vulnerabilidad se puede tener acceso irrestricto dentro del equipo desde cualquier sitio y poder controlar los sistemas sin dejar rastro alguno y posteriormente poder convertirse en Superusuario del sistema. Para tratar de disminuir la creciente ola de incidentes el 'Area de Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma inmediata la revisi'on de sus sistemas si se encuenta dicha aplicaci'on y bajar el Secure Shell de sitio Seguros como lo son : SITIO ORIGINAL ftp://ftp.funet.fi/pub/unix/security/login/ssh/ FTP del 'Area de Seguridad en C'omputo ftp://ftp.asc.unam.mx/pub/tools/SSH/Unix/ 'o atrav'es de uno de sus sitios oficiales http://www.ssh.fi/sshprotocols2/download.html _________________ SOLUCION TEMPORAL ----------------- Si sospechas que tu sistema se encuentra comprometido te recomendamos llevar acabo las siguientes acciones : 1.- Convertirse en Superusuario (root). % su - Password:xxxxxx 2.- Verificar que dentro de tu sistema no exista el c'odigo del SSH 1.2.26 reci'en compilado y modificado. Si llegase a existir aplicar los sigueintes pasos, si no ir al paso 7. 3.- Verificar que no existan procesos del sshd. 4.- Si llegase a existir Matar los procesos. #ps -fea | grep sshd root 2150 0.0 0.4 1.93M 256K ?SW 0:00 sshd -i root 3170 0.0 0.4 1.93M 256K ?SW 0:00 sshd -T #kill -9 2150 3170 5.- Bajar el FTP de Un sitio Seguro y preferentemente de su sitio Original, en el FTP del ASC de la UNAM existe el FTP con su correspondiente firma. #ftp ftp.asc.unam.mx #get /pub/tools/SSH/Unix/ssh-1.2.26.tar.gz.md5_checksum #get /pub/tools/SSH/Unix/ssh-1.2.26.tar.gz Comparar el taman~o del archivo firmado con el que acaban de bajar para tener la certeza de que se baja la aplicaci'on Original. 6.- Aplicar los pasos Necesrios para la instalaci'on del programa. #./configure #make #make install 7.- Una vez instalado, Recomendamos revisar la m'aquina para verificar que no ha sido comprometida en su totalidad, si no sabes como hacerlo te recomendamos seguir los siguientes documentos: http://www.cert.org/tech_tips/root_compromise.html http://www.cert.org/tech_tips/intruder_detection_checklist.html Los cuales describen la forma de llevar a cabo esta revisi'on y que pr'oximamente estar'an en su versi'on en espan~ol en el 'Area de Seguridad en C'omputo de la DGSCA - UNAM ________________ INFORMACI'ON _______________ Para Mayor Informaci'on o Detalles de este bolet'in contactar a: 'Area de Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : asc en conga super unam mx http://www.asc.unam.mx/boletines __________________________________________________________________________ Juan Carlos Guel L'opez 'Area de Seguridad en C'omputo E-mail: asc en ds5000 super unam mx DGSCA, UNAM Tel.: 5622-8169 Fax: 5622-8043 Circuito Exterior, C. U. WWW: http://www.asc.unam.mx 04510 Mexico D. F. PGP: finger asc en ds5000 super unam mx