[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2002-001 Exploit de Vulnerabilidad en los Servicios de Control de Subprocesos CDE ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan de que se han recibido informes de escaneo y exploits de sistemas Solaris ejecutando la vulnerabilidad de buffer overflow en los Servicios de Control de Subprocesos CDE identificada en el Boletín de Seguridad UNAM-CERT 2001-032 y discutido en la vulnerabilidad VU#172583. Fecha de Liberación: 15 de Enero de 2002 Ultima Revisión: --- CERT/CC y diversos reportes Fuente: de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ------------------ * Sistemas ejecutando CDE DESCRIPCIÓN ----------- Desde que el Boletín de Seguridad UNAM-CERT 2001-032 fue originalmente liberado en Noviembre pasado, el CERT/UNAM-CERT ha recibido reportes de escaneo en dtspcd (6112/tcp) . Sin embargo, recientemente, se han recibido reportes de un exploit en los sistemas Solaris. Utilizando seguimientos de rutas de red proporcionadas por The Honeynet Project, se ha confirmado que la vulnerabilidad dtspcd identificada en Boletín de Seguridad UNAM-CERT 2001-032 y discutida en la vulnerabilidad VU#172583 está siendo explotada. Common Desktop Environment (CDE) es una interfaz de usuario gráfica integrada que corre en los sistemas operativos UNIX o LINUX. CDE Subprocess Control Service (dtspcd) es un demonio de red que acepta requerimientos de clientes para ejecutar comandos y lanzar aplicaciones remotamente. En sistemas ejecutando CDE, dtspcd es creado por el demonio de servicios de Internet (típicamente inetd ó xinetd) en respuesta al requerimiento del cliente CDE. dtspcd está típicamente configurado para ejecutarse en el puerto 6112/tcp con privilegios de Administrador Local. Existe una vulnerabilidad de Buffer Overflow remotamente explotable en una biblioteca compartida que es utilizada por dtspcd. Durante la negociación del cliente, dtspcd acepta un valor de longitud y datos subsecuentes del cliente sin realizar una validación de entrada adecuada. Como resultado, un cliente malicioso puede manipular el envío de datos a dtspcd y causar un buffer overflow, ejecutando potencialmente código con privilegios de Administrador Local. El overflow ocurre cuando un buffer de tamaño de medida fijo de 4K es explotado por los contenidos de uno de los paquetes enviados por el intruso. La firma puede ser encontrada en los bytes 0x3e-0x41 en el siguiente paquete de ataque desde un registro tcpdump: 09:46:04.378306 10.10.10.1.3592 > 10.10.10.2.6112: P 1:1449(1448) ack 1 win 16060 <nop,nop,timestamp 463986683 4158792> (DF) 0x0000 4500 05dc a1ac 4000 3006 241c 0a0a 0a01 E.....@.0.$..... 0x0010 0a0a 0a02 0e08 17e0 fee2 c115 5f66 192f ...f........_f./ 0x0020 8018 3ebc e1e9 0000 0101 080a 1ba7 dffb ..>............. 0x0030 003f 7548 3030 3030 3030 3032 3034 3130 .?uH000000020410 0x0040 3365 3030 3031 2020 3420 0000 0031 3000 3e0001..4....10. 0x0050 801c 4011 801c 4011 1080 0101 801c 4011 ..@...@.......@. 0x0060 801c 4011 801c 4011 801c 4011 801c 4011 ..@...@...@...@. ... El valor 0x103e en la columna ASCII(derecha) es interpretado por el servidor como el número de bytes en el paquete que se copiará al buffer de 4K interno (0x1000). Debido a que 0x103e es más grande que 0x1000, los últimos bytes 0x3e del paquete sobrescribirán la memoria después del final del buffer de 4K. Este es el mismo compromiso de vector que en la vulnerabilidad VU#172583. Es importante hacer notar que varios juegos de Internet también pueden utilizar el puerto 6112/tcp como parte legítima de su operación normal, por lo tanto, no toda la actividad de red envuelta en este servicio pueden ser maliciosa. Los administradores de redes que monitorean este tipo de actividad podrían verificar cuales pruebas de este tipo están intentando actualmente explotar la vulnerabilidad VU#172583. Muchos sistemas UNIX comúnmente tiene a CDE instalado y habilitado por default. Para determinar si algún si algún sistema está configurado para ejecutar dtspcd , se deben verificar las siguientes entradas: in /etc/services dtspc 6112/tcp in /etc/inetd.conf dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd Cualquier sistema que no ejecute los Servicios de Control de Subprocesos CDE no es vulnerable a este problema. IMPACTO ------- Un intruso puede ejecutar código arbitrario con privilegios de Administrador Local. SOLUCIONES ---------- Aplicar un Parche La vulnerabilidad VU#172583 contiene información de los distribuidores que han proporcionado información para este boletín. La nota de vulnerabilidad se actualizará cuando se reciba más información. Si algún distribuidor no aparece, significa que no se ha recibido ninguna información de su parte. Contacte a su distribuidor directamente. Información del distribuidor puede ser encontrada en la sección "Sistemas Afectados" de la vulnerabilidad VU#172583. http://www.kb.cert.org/vuls/id/172583#systems Limitar el Acceso al Sistema Vulnerable Hasta que un parche este disponible y pueda ser aplicado, se pueden limitar o bloquear el acceso a los Servicios de Control de Subprocesos desde redes que no son confiables como el Internet. Se puede utilizar un Firewall u otra tecnología de filtrado de paquetes, para bloquear o restringir el acceso al puerto utilizado por el los Servicios de Control de Subprocesos. Como se comento anteriormente, dtspcd esta configurado típicamente para escuchar en el puerto 6112/tcp. También se puede utilizar TCP Wrapper o una tecnología similar para proporcionar un mejor control de acceso y funcionalidades de registro para conexiones dtspcd. Se debe tener en cuenta que bloqueando los puertos en el perímetro de la red no se protege al servicio vulnerable de ataques internos de la red. Es importante entender la configuración de la red y los requerimientos de servicio antes de decidir los cambios apropiados. TCP Wrapper está disponible de: ftp://ftp.porcupine.org/pub/security/index.html Deshabilitar el Servicio Vulnerable Se puede considerar deshabilitar dtspcd comentando la entrada apropiada en /etc/inetd.conf . Como una mejor práctica, el CERT/UNAM-CERT recomienda deshabilitar cualquier servicio que no sea requerido. Como se hizo notar anteriormente, es importante considerar las consecuencias de tales cambios en el ambiente. APÉNDICE A.- REFERENCIAS ------------------------ 1. http://www.kb.cert.org/vuls/id/172583 2. http://www.cert.org/advisories/CA-2001-31.html 3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0803 4. http://xforce.iss.net/alerts/advise101.php 5. http://www.opengroup.org/cde/ 6. http://www.opengroup.org/desktop/faq/ INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-01.html Para mayor información acerca de éste boletín de seguridad contactar a: - -- UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPEUfJ3AvLUtwgRsVAQFBYwf8DppVLdsg+dq6FbxcCq3IavD5Bj3KPaaV ttSyteDnf3H/9UQD6eLO+epYu5UAVfBjmGBYTr8/NCD4TC8LtvP5O4Z/cHJkwzwM WLlLbQPdpxeXVZbsb2fjSwWUNw7s/Y8DikxvjHyqEEcfuDXtPqIcA1J0nJrFKIYl wBPHvhpEDURUx+Mcd/MYKvd4UhpuK32OHqEGG7ul+/WHcaUoNlrtSvP5G3ADNbGt 8Pci0ervuWYNzckvvZ1GliDN7VupgVEkoVI+k60kcXge1Q0zCodisyfOoUS/AbOA MGx5R0M/G3P9HUE9ewRhtGjSjmObSmB10FSZO0nqXbF9WplheEfXTA== =hh79 -----END PGP SIGNATURE----- Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/