[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2002-001
Exploit de Vulnerabilidad en los Servicios de Control de
Subprocesos CDE
------------------------------------------------------------------
El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de que se han recibido informes de escaneo y
exploits de sistemas Solaris ejecutando la vulnerabilidad de
buffer overflow en los Servicios de Control de Subprocesos CDE
identificada en el Boletín de Seguridad UNAM-CERT 2001-032 y
discutido en la vulnerabilidad VU#172583.
Fecha de
Liberación: 15 de Enero de 2002
Ultima Revisión: ---
CERT/CC y diversos reportes
Fuente: de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* Sistemas ejecutando CDE
DESCRIPCIÓN
-----------
Desde que el Boletín de Seguridad UNAM-CERT 2001-032 fue
originalmente liberado en Noviembre pasado, el CERT/UNAM-CERT ha
recibido reportes de escaneo en dtspcd (6112/tcp) . Sin embargo,
recientemente, se han recibido reportes de un exploit en los
sistemas Solaris. Utilizando seguimientos de rutas de red
proporcionadas por The Honeynet Project, se ha confirmado que la
vulnerabilidad dtspcd identificada en Boletín de Seguridad
UNAM-CERT 2001-032 y discutida en la vulnerabilidad VU#172583 está
siendo explotada.
Common Desktop Environment (CDE) es una interfaz de usuario
gráfica integrada que corre en los sistemas operativos UNIX o
LINUX. CDE Subprocess Control Service (dtspcd) es un demonio de
red que acepta requerimientos de clientes para ejecutar comandos y
lanzar aplicaciones remotamente. En sistemas ejecutando CDE,
dtspcd es creado por el demonio de servicios de Internet
(típicamente inetd ó xinetd) en respuesta al requerimiento del
cliente CDE. dtspcd está típicamente configurado para ejecutarse
en el puerto 6112/tcp con privilegios de Administrador Local.
Existe una vulnerabilidad de Buffer Overflow remotamente
explotable en una biblioteca compartida que es utilizada por
dtspcd. Durante la negociación del cliente, dtspcd acepta un valor
de longitud y datos subsecuentes del cliente sin realizar una
validación de entrada adecuada. Como resultado, un cliente
malicioso puede manipular el envío de datos a dtspcd y causar un
buffer overflow, ejecutando potencialmente código con privilegios
de Administrador Local. El overflow ocurre cuando un buffer de
tamaño de medida fijo de 4K es explotado por los contenidos de uno
de los paquetes enviados por el intruso. La firma puede ser
encontrada en los bytes 0x3e-0x41 en el siguiente paquete de
ataque desde un registro tcpdump:
09:46:04.378306 10.10.10.1.3592 > 10.10.10.2.6112: P 1:1449(1448)
ack 1 win 16060 <nop,nop,timestamp 463986683 4158792> (DF)
0x0000 4500 05dc a1ac 4000 3006 241c 0a0a 0a01
E.....@.0.$.....
0x0010 0a0a 0a02 0e08 17e0 fee2 c115 5f66 192f
...f........_f./
0x0020 8018 3ebc e1e9 0000 0101 080a 1ba7 dffb
..>.............
0x0030 003f 7548 3030 3030 3030 3032 3034 3130
.?uH000000020410
0x0040 3365 3030 3031 2020 3420 0000 0031 3000
3e0001..4....10.
0x0050 801c 4011 801c 4011 1080 0101 801c 4011
..@...@.......@.
0x0060 801c 4011 801c 4011 801c 4011 801c 4011
..@...@...@...@.
...
El valor 0x103e en la columna ASCII(derecha) es interpretado por
el servidor como el número de bytes en el paquete que se copiará
al buffer de 4K interno (0x1000). Debido a que 0x103e es más
grande que 0x1000, los últimos bytes 0x3e del paquete
sobrescribirán la memoria después del final del buffer de 4K. Este
es el mismo compromiso de vector que en la vulnerabilidad
VU#172583.
Es importante hacer notar que varios juegos de Internet también
pueden utilizar el puerto 6112/tcp como parte legítima de su
operación normal, por lo tanto, no toda la actividad de red
envuelta en este servicio pueden ser maliciosa. Los
administradores de redes que monitorean este tipo de actividad
podrían verificar cuales pruebas de este tipo están intentando
actualmente explotar la vulnerabilidad VU#172583.
Muchos sistemas UNIX comúnmente tiene a CDE instalado y habilitado
por default. Para determinar si algún si algún sistema está
configurado para ejecutar dtspcd , se deben verificar las
siguientes entradas:
in /etc/services
dtspc 6112/tcp
in /etc/inetd.conf
dtspc stream tcp nowait root /usr/dt/bin/dtspcd
/usr/dt/bin/dtspcd
Cualquier sistema que no ejecute los Servicios de Control de
Subprocesos CDE no es vulnerable a este problema.
IMPACTO
-------
Un intruso puede ejecutar código arbitrario con privilegios de
Administrador Local.
SOLUCIONES
----------
Aplicar un Parche
La vulnerabilidad VU#172583 contiene información de los
distribuidores que han proporcionado información para este
boletín. La nota de vulnerabilidad se actualizará cuando se reciba
más información. Si algún distribuidor no aparece, significa que
no se ha recibido ninguna información de su parte. Contacte a su
distribuidor directamente.
Información del distribuidor puede ser encontrada en la sección
"Sistemas Afectados" de la vulnerabilidad VU#172583.
http://www.kb.cert.org/vuls/id/172583#systems
Limitar el Acceso al Sistema Vulnerable
Hasta que un parche este disponible y pueda ser aplicado, se
pueden limitar o bloquear el acceso a los Servicios de Control de
Subprocesos desde redes que no son confiables como el Internet. Se
puede utilizar un Firewall u otra tecnología de filtrado de
paquetes, para bloquear o restringir el acceso al puerto utilizado
por el los Servicios de Control de Subprocesos. Como se comento
anteriormente, dtspcd esta configurado típicamente para escuchar
en el puerto 6112/tcp. También se puede utilizar TCP Wrapper o una
tecnología similar para proporcionar un mejor control de acceso y
funcionalidades de registro para conexiones dtspcd. Se debe tener
en cuenta que bloqueando los puertos en el perímetro de la red no
se protege al servicio vulnerable de ataques internos de la red.
Es importante entender la configuración de la red y los
requerimientos de servicio antes de decidir los cambios
apropiados.
TCP Wrapper está disponible de:
ftp://ftp.porcupine.org/pub/security/index.html
Deshabilitar el Servicio Vulnerable
Se puede considerar deshabilitar dtspcd comentando la entrada
apropiada en /etc/inetd.conf . Como una mejor práctica, el
CERT/UNAM-CERT recomienda deshabilitar cualquier servicio que no
sea requerido. Como se hizo notar anteriormente, es importante
considerar las consecuencias de tales cambios en el ambiente.
APÉNDICE A.- REFERENCIAS
------------------------
1. http://www.kb.cert.org/vuls/id/172583
2. http://www.cert.org/advisories/CA-2001-31.html
3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0803
4. http://xforce.iss.net/alerts/advise101.php
5. http://www.opengroup.org/cde/
6. http://www.opengroup.org/desktop/faq/
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en
la siguiente dirección:
http://www.cert.org/advisories/CA-2002-01.html
Para mayor información acerca de éste boletín de seguridad
contactar a:
- --
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPEUfJ3AvLUtwgRsVAQFBYwf8DppVLdsg+dq6FbxcCq3IavD5Bj3KPaaV
ttSyteDnf3H/9UQD6eLO+epYu5UAVfBjmGBYTr8/NCD4TC8LtvP5O4Z/cHJkwzwM
WLlLbQPdpxeXVZbsb2fjSwWUNw7s/Y8DikxvjHyqEEcfuDXtPqIcA1J0nJrFKIYl
wBPHvhpEDURUx+Mcd/MYKvd4UhpuK32OHqEGG7ul+/WHcaUoNlrtSvP5G3ADNbGt
8Pci0ervuWYNzckvvZ1GliDN7VupgVEkoVI+k60kcXge1Q0zCodisyfOoUS/AbOA
MGx5R0M/G3P9HUE9ewRhtGjSjmObSmB10FSZO0nqXbF9WplheEfXTA==
=hh79
-----END PGP SIGNATURE-----
Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/