[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2002-028
Distribución de Copias Troyanas de Sendmail
------------------------------------------------------------------
El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de que algunas copias del código fuente del paquete
Sendmail fueron modificadas por un intruso y contienen un Caballo
de Troya.
Los sitios que emplean, redistribuyen o sirven de mirror del
paquete Sendmail deberían verificar inmediatamente la integridad
de su distribución.
Fecha de
Liberación: 8 de Octubre de 2002
Ultima Revisión: - - -
CERT/CC y diversos
Fuente: reportes de Equipos de
Respuesta a
Incidentes.
DESCRIPCIÓN
-----------
El CERT/UNAM-CERT han recibido confirmación de que algunas copias
del código fuente del paquete Sendmail fueron modificadas por un
intruso y contienen un Caballo de Troya.
Los siguientes archivos fueron modificados para incluir el código
malicioso:
sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz
Estos archivos empezaron a estar disponibles en el servidor FTP
ftp.sendmail.org alrededor del 28 de Septiembre de 2002. El equipo
desarrollador de Sendmail deshabilito el servidor comprometido
aproximadamente a las 22:15 PM del 6 de Octubre de 2002. Al
parecer, ninguna copia que fue descargada vía HTTP contenía el
Troyano; sin embargo, el CERT/UNAM-CERT recomiendan a los usuarios
que han descargado el código fuente vía HTTP durante este periodo
de tiempo, llevar a cabo los pasos recomendados en la sección de
Solución como una medida preventiva.
Las versiones del Troyano de Sendmail contienen código malicioso
que es ejecutado durante el proceso de compilación del software.
Este código crea un proceso que se conecta al puerto 6667/tcp de
un servidor remoto fijo. Este proceso permite que un intruso abra
una terminal, la cual se ejecuta en el contexto del usuario que
creó el software de Sendmail. No existe evidencia de que el
proceso persista después de reiniciar un sistema comprometido. Sin
embargo, una instalación subsecuente del paquete de Sendmail
Troyano reestablecerá el proceso de la puerta trasera.
IMPACTO
-------
Un intruso operando desde la dirección remota especificada en el
código malicioso puede obtener acceso remoto no autorizado a
cualquier servidor que haya compilado una versión Troyana de
Sendmail. El nivel de acceso podría ser el del usuario que compiló
el código fuente.
Es importante entender que el compromiso se refiere a los sistemas
que están utilizando una versión compilada del software de
Sendmail y no a los sistemas que ejecuten el demonio de Sendmail.
Debido a que los sistemas comprometidos crean un túnel para que el
sistema pueda ser controlado de forma remota, el intruso podría
tener una ruta a través de los controles de acceso de la red.
SOLUCIONES
----------
* Obtener una Versión Autentica de Sendmail
El sitio de distribución primaria de Sendmail es:
http://www.sendmail.org/
Se recomienda a los sitios mirror del código fuente de Sendmail
que verifiquen la integridad de sus fuentes.
* Verificar la Autenticidad del Software
Se recomienda que los sitios que han descargado recientemente una
copia de la distribución de Sendmail verifiquen la autenticidad de
la distribución, independientemente de donde haya sido obtenida.
Además, se recomienda también a los usuarios inspeccionar
cualquiera o todo el software que haya sido descargado del sitio
comprometido. Se debe hacer notar que no es suficiente confiar en
las fechas de creación o en el tamaño del archivo cuando se
intenta determinar si es o no una copia de la versión Troyana.
* Verificar las Firmas PGP
La distribución del código fuente de Sendmail esta
firmada criptográficamente con la siguiente firma PGP:
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45
La copia del Troyano no incluye ninguna actualización de
la firma PGP actualizada, de esta forma, el intento de
verificar su integridad podría fallar. El staff de
sendmail.org ha comprobado que las copias de Troyano
fallaron al verificar su firma PGP.
* Verificar los Checksums MD5
En ausencia de PGP, se pueden utilizar los siguiente
checksums MD5 para verificar la integridad de la
distribución del código fuente de Sendmail:
Correct versions:
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig
Como una buena practica de seguridad, el CERT/UNAM-CERT
recomiendan a los usuarios verificar, cuando sea
posible, la integridad del software descargado. Para una
mayor información consulte:
http://www.cert.org/incident_notes/IN-2001-06.html
* Establecer Filtrado de Paquetes de Salida
El filtrado de los paquetes de salida permite administrar el flujo
de tráfico cuando abandona la red.
En el caso de la distribución del Sendmail Troyano, estableciendo
un filtrado de los paquetes de salida puede ayudar a prevenir que
los sistemas en la red se conecten a sistemas remotos controlados
por intrusos. Bloqueando las conexiones TCP de salida al puerto
6667 desde la red, se reduce el riesgo del compromiso de máquinas
internas.
* Crear el Software con un Usuario sin Privilegios
Se recomienda a los sitios que al momento de compilar software lo
hagan desde una cuenta de usuario normal, y no con una Cuenta de
Administrador Local. Esto puede reducir el impacto del software
Troyano. El hecho de compilar software que contenga algún Troyano
con una cuenta de Administrador Local resulta un compromiso que es
más difícil de recuperar, a diferencia de que el Troyano hubiera
sido ejecutado desde una cuenta de usuario normal.
* Recuperación de un Sistema Comprometido
Si se cree que el sistema ha sido comprometido, se deben seguir
los pasos contenidos en el siguiente documento:
Pasos para la Recuperación de un Sistema UNIX o NT
Comprometido
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en
la siguiente dirección:
http://www.cert.org/advisories/CA-2002-028.html
Para mayor información acerca de éste boletín de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPaOLXHAvLUtwgRsVAQER9Qf9EZMoV3G2Nq/zeUyO5x77J5fMYEQFriqr
m+Ud604U+/HXLd4CvRd2/HrGNs3VkeKYflVSZuHM3VtFXLbjK3hpp3MKw23DS6In
WbqNFWb4ohfREJWcGTUjIIr7rE1GYsBrbtC+qovuB/56MXyM37mizN/dFLG0Jr/O
4WeRqVbw5cvh/fK5vqig20ZPmlqMs33ad1ov4oZqevt68R0Y1KwjGvXv/WyKRtrK
a3TGiFAXFTYBPrpn0o6x1dLj2yniB4X5eZgshk0IgdW/tmXwnxC3LbCmKsMYL1Hf
6Ra146ROdeRQYGUyjAhWvtJaGARR7Ui52iF4YFtrjaFWyVa8HXlKtQ==
=lnh6
-----END PGP SIGNATURE-----
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://linuxppp.com/reglas.html