[Linux] Boletin UNAM-CERT 2001-005

To: gasu en seguridad unam mx
Subject: [Linux] Boletin UNAM-CERT 2001-005
From: Seguridad en Computo - UNAM <dsc en seguridad unam mx>
Date: Mon, 2 Apr 2001 11:59:39 -0500 (CDT)
Reply-to: linux en linux net mx
Sender: owner-linux en linux net mx
-----BEGIN PGP SIGNED MESSAGE-----

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                            UNAM - CERT

                 Departamento de Seguridad en Computo
 
                           DGSCA- UNAM
 
                Boletin de Seguridad UNAM-CERT 2001-005

               Vulnerabilidad y Explotacion de "snmpXdmid"	
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


El CERT/CC y UNAM-CERT, atraves de sus equipos de respuesta a incidentes de Seguridad en Computo, han identificado una vulnerabilidad en el servicio snmpXdmid que afecta principalmente a los sistemas operativos Solaris. En los ultimos reportes se ha identificado el patron de uso y explotacion de dicho servicio.

El UNAM-CERT pone en alerta a todos los Administradores, Responsables de redes y de la Seguridad de los sistemas dentro del dominio .mx ante este tipo de Vulnerabilidades y formas de explotyacion de los sistemas de Computo.

Fecha de Liberaci'on : 30 de Marzo de 2001
Ultima Revisi'on :     1  de Abril de 2001
Fuente:                CERT/CC y diversos reportes de Equipos de Respuesta
                       a Incidentes

, , , , , , , , , , , , 
* Sistemas Afectados  *
, , , , , , , , , , , , 
 
Todos los equipos con sistema operativo Solaris 2.6,2.7 y 2.8 con el servicio snmpXdmid instalado y habilitado. Cabe sen~alar que el servicio snmpXdmid se encuentra instalado por default en dicho sistemas y versiones.


, , , , , , , , , , , , , , , 
* Descripci'on del Problema *
, , , , , , , , , , , , , , , 

El demonio snmpXdmid que es usado por el protocolo SNMP y es mapeado por SMI traduce los eventos que ocurren en el sercicio SNMP(Simple Network Management Protocol) hacia la Interfaz DMI(Desktop Management Interface) y viceversa. Ambos protocolos sirven de proposito similar, y el demonio traduce y de esta forma permite a los usuarios el poder manipular diversos dispositivos usando cualquier dispositivo. El demonio snmpXdmi registra por si mismo a ambos demonios , tanto al snmpdx y al demonio dmid, traduciendo y redireccionando las peticiones de un demonio a otro.

snmpXdmid contiene dentro de una parte de su codigo una falla que provoca un buffer overflow, al momento de traducir los eventos de DMI a SNMP. Este buffer overflow puede ser explotado de forma local o de forma remota por los intrusos para obtener privilegios de root.

Mas informacion de esta vulnerabilidad puede ser encontrado en :

		http://www.kb.cert.org/vuls/id/648304

Los sitios afectados con dicha vulnerabilidad han reportado el siguiente patron de comportamiento:

	* Evidencia de multiples escaneos a las redes atraves de los servicios RPC(puertos 111 udp/tcp) con peticiones explicitas al servicio y puerto del snmpXdmid para posteriormente explotar sus vulnerabilidades.

	* Existencia de un archivo core ocasionado por el servicio snmpxdmid dentro de la particion de root ( / ).

	* Una copia adicional del demonio inetd ejecutandose(probablemente usando /tmp/bob como archivo de configuracion)

	* Una sesion de telnet como superusuario  instalada y escuchando dentro del puerto 2766(el puerto puede variar).

	* Un SSH como puerta trasera instalado y escuchando en el puerto 47018(El puerto puede variar).

	* Un IRC proxy instalado como /var/lp/lpacct/lpacct y escuchando en el puerto 6668

	* Un sniffer escuchando y ejecutandose, generalmente dentro de /usr/lib/lpset.

	* Bitacoras alteradas para ocultar la evidencia de la intrusion.

	* Reemplazo de binarios del sistema atraves de la instalacion de un rootkit, dentro de los directorios /dev/pts/01 y /dev/pts/01/bin(cabe sen~alar que las versiones de 'ls' y de 'find' instaladas por el rootkit no mostraran dichos subdirectorios).

	El contenido de /dev/pts/01 puede incluir lo siguiente:

		bin 
                crypt 
                idsol 
                patcher 
                su-backup 
                utime 
                bnclp 
                idrun 
                l3 
                pg 
                urklogin 

	El contenido de /dev/pts/01/bin puede incluir lo siguiente :

		du
		find
		ls
		netstat
		passwd
		ping
		psr
		sparcv7
		su

NOTA : Debido a que los comandos 'ps' y 'netstat' ambos son reemplazados por el rootkit, estos no mostraran los procesos ni puertos abiertos dentro del sistema. Sin embargo, podras encontrar que /usr/ucb/ps no es modificado durante la intrusion, y al ejecutarlo nos mostrara los procesos adicionales.


, , , , , , 
*  Impacto *
, , , , , , 

Un usuario sea local o de forma remota podra enviar paquetes al demonio snmpXdmi dentro de un sistema y puede obtener de esta forma privilegios de superusuario.

, , , , , , ,
*  Solucion *
, , , , , , ,


A. Aplicar los parches de SUN cuando se encuentren disponibles

Sun ha sido notificado de esta vulnerabilidad, y actualmente se encuentran en la elaboracion de los parches que corrijan dicha vulnerabilidad. En el momento en que se reciban los parches correspondientes este boletin sera actualizado.


B. Deshabilitar el servicio snmpXdmi

Hasta que los parches correspondientes se encuentren disponibles, es recomendable que no se usen los demonios SNMP y DMI en cada sistema y desactivar el uso de snmpXdmid.

	Una de las posibles soluciones para poder ejecutar esto es como root realizar lo siguiente:

	1. Evitar que el deminio se inicie al momento de reiniciar el sistema.
		mv /etc/rc3.d/SXXdmi /etc/rc3.d/KXXdmi 

	2. Matar el demonio actual en ejecucion.
		/etc/init.d/init.dmi stop 

	3. Verificar que el demonio no se encuentre activo.
		ps -ef | grep dmi 

	4. Como una medida adicional, asegurarse que el demonio se encuentre de forma no ejecutable.
		chmod 000 /usr/lib/dmi/snmpXdmid 


C. Reestringir el Acceso a snmpXdmi y otros Servicios RPC

Para los sitios que se requiera el uso de los servicios snmpXdmi u otros servicios RPC, se recomienda que se filtren mediante reglas el uso de las direcciones IP, para prevenir y disminuir el riesgo al que se esta expuesto al tener habilitado este servicio en cada sistema. los servicios SUN RPC son manejados por default atraves del puerto 111(tcp,udp). El puerto por default usado por el servicio snmpXdmid es 100249, y usa la instruccion 'rpcinfo -p' para de forma local abrir el servicio.

# rpcinfo -p | grep 100249
 100249 1 udp 32785 
 100249 1 tcp 32786 

NOTA : El puerto especificado puede variar.


- ------------------------------------
 APENDICE A : Informacion Adicional 
- ------------------------------------


 A. SUN Microsystems

Podemos confirmar que esto afecta a todas las versiones de SOLARIS, que vienen con el demonio y mapeador SNMP y DMI, que son, Soalris 2.6, 2.7 y 8.

Al momento de emision de este boletin no se contaba con un parche que solucione dicho problema. Sin embargo SUN nos ha notificado que en breve lo emitira y su equipo derespuesta se encuentra en la solucion del mismo. 

En cuanto sea publicado este boletin sera actualizado.


 , , , , , , ,
 * INFORMACION *
 , , , , , , ,

Este documento se encuentra disponible en su formato original en la siguiente direccion:

		http://www.cert.org/advisories/CA-2001-05.html


Para mayor informaci'on acerca de este boletin contactar a:


              .,,,,,,,,,,
          ,?H1H919191919191S,.
       ,d1H9191919191919111119S>.
     ?H9H919191919191919191919111S.                  UNAM CERT
   ,H9H919H&''`"|*H9191919191919111>
  ,HH919H&'  `   ``+1&'` ```+91919S1b     Equipo de Respuesta a Incidentes UNAM 
 iHM11191? ` ` `   ``  J19HS `1919H11S              
.HH919191S   `         4191&  J9191919>   Departamento de Seguridad en Computo
|MH91119111S       `   ``"'` ,19191911S
JMH9191919191>         ` `  `+191919111             DGSCA - UNAM 
1MH919H919/`'  `       `   `  `*1919111-
|MH9191919+`   ,J$   `       ` `|919191 
:MH91919$'    ,1+`   . `   `   `i1H911$    
 9HM1919,`  ,1$'    |9>,.`     ,19191H     E-Mail : seguridad en seguridad unam mx
 `4MH9191:,1$' `,1b?J1191>,?,,191119H'     http://www.unam-cert.unam.mx
  `*HM19H91S_:  `91919191919191919HH'      http://www.seguridad.unam.mx
   `|9HMH9191111>119191919H919191M+`       ftp://ftp.seguridad.unam.mx
     `+9HMH9191919191919191919HM+'         Tel : 56 22 81 69
       ``*MMH9H919H919H919HMH*'`           Fax : 56 22 80 43
           ``*+#HMHMHMHHd*'"

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBOsiwBXAvLUtwgRsVAQHx3QgAg5LM0yUElxBNiQXvbT5TpjQZmH16O+LI
ukzKvDIQLFNcNQzrO9c/tZlCKQUzEPBiniPXJ9A6nDBaVV+oFp74GsSxFNgPjm2r
HbTj4aeyfL0RNJ1Us6EVxUrvVFd4Z4EPFylEjY0fU7TfhsnFLikrh1Ua5cIo5JD/
GQk0mQpZrI3/kVkI/7A2wnhDBira7Evsf47swix06qPo6mx1rzHYDJep66Wuwg64
gktuZ9b+X4TLh/gdf8qCv0sx8ckbv22GKsgU0VbsrDNzCPUQXzYGYFQ/tYY6QPdx
2Q7DFZAWi+A4vqw0tHthTK9uQg6IcMlJ8c5ZvEO0zBWQ2FBiHWj43A==
=mqpg
-----END PGP SIGNATURE-----



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/
Previo por Fecha: RE: [Linux] ESTE MAIL ES DE AGRADECIMIENTO PARA JAIME CONDE
Siguiente por Fecha: Re: [Linux] problemas con compartir internet.
Previo por Hilo: RE: [Linux] ESTE MAIL ES DE AGRADECIMIENTO PARA JAIME CONDE
Siguiente por Hilo: Re: [Linux] problemas con compartir internet.
[Hilos de Discusión] [Fecha] [Tema] [Autor]