[hackmeeting] ALERTA LINUXEROS Y ADMINS DE LA LISTA

Hubble Hubble en flashmail.com
Sab Mar 24 11:20:51 CET 2001 

Hol en s,

de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
VSantivirus No. 259 - Año 5 - Sábado 24 de marzo de 2001
_____________________________________________________________
Linux/Lion.worm. Peligrosa amenaza para servidores Linux
__________________________________________________________

Nombre: Linux/Lion.worm
Tipo: Gusano de Internet de Acceso Remoto
Origen: China
Fecha: 23/mar/01
Alias: Lion, Linux.Lion.Worm, Lion worm

Se trata de un gusano de Internet, que afecta servidores bajo
el sistema operativo Linux. No son  afectadas computadoras
bajo ninguna versión de Windows.

Para muchos expertos, se trata de un virus mucho más
peligroso que el Ramen (ver VSantivirus No. 195 - Año 5 -
Viernes 19 de enero de 2001, "Linux.Ramen.Worm. Se propaga a
gran velocidad en Linux" y VSantivirus No. 229 - Año 5 -
Jueves 22 de febrero de 2001, "Nueva versión del virus Ramen
para Linux descubierta").

Este gusano se aprovecha de una vulnerabilidad conocida desde
hace un tiempo (TSIG vulnerability), y la única razón de los
numerosos casos reportados en un plazo de pocas horas, es
porque son muchos los administradores que no han puesto al
día sus sistemas.

A diferencia del Ramen, que solo afecta máquinas bajo Linux
Red Hat 6.2 o 7.0, Lion se aprovecha de una vulnerabilidad
que afecta máquinas bajo Linux, que corran las versiones 8.2,
8.2-P1, 8.2.1, 8.2.2-Px, y todas las 8.2.3-betas de BIND
(Berkeley Internet Name Domain), la aplicación más utilizada
como software de los servidores de nombre en Internet (DNS)
(ver VSantivirus No. 211 - Año 5 - Domingo 4 de febrero de
2001, "Sobre las vulnerabilidades BIND").

Esta vulnerabilidad, reportada en enero de 2001, permite la
ejecución de órdenes arbitrarias en el servidor.

Una solicitud correcta a un servidor DNS corriendo BIND,
suele ser el nombre de un dominio. La respuesta sería la
dirección IP válida para acceder a las máquinas de ese
dominio.

Sin embargo, esta vulnerabilidad permite el envío de
determinada cadena de caracteres, y como resultado, se puede
llegar a ejecutar comandos en forma arbitraria, ocasionando
un desbordamiento de búfer y ejecutando código malicioso.

Por otra parte, cada uno de estos sistemas atacados por el
Lion, se convierte a su vez en atacante, lo que en pocos
minutos puede ocasionar la caída de muchos sistemas, causando
un grave perjuicio a la navegación por Internet.

Este gusano descarga sus archivos desde el dominio 51.net, el
cuál está registrado en China.

Bloquea además el IP 211.100.18.56 para prevenir cualquier
intento de comunicarse con dicha dirección.

Lion también puede robar contraseñas de los sistemas
afectados, y además puede instalar y esconder varias
herramientas usadas por hackers, y acceder a los sistemas
afectados con privilegios tales, que le permitan atacar desde
allí a otros sistemas vulnerables.

El gusano utiliza una aplicación llamada RANDB para examinar
al azar redes de clase B. Busca el puerto 53 de TCP, y se
aprovecha de los sistemas Linux que no han actualizado sus
sistemas con los parches para las vulnerabilidades BIND
mencionadas.

El gusano instala en el sistema atacado, una herramienta
llamada "t0rn rootkit", y una vez que toma el control de un
sistema vulnerable, envía las contraseñas y otro tipo de
información a una dirección de e-mail con dominio china.com.

También instala versiones "troyanizadas" de SSH y LOGIN.

La herramienta "t0rn rootkit" reemplaza varios archivos
binarios en el sistema atacado:

  du
  find
  ifconfig
  in.telnetd
  in.fingerd
  login
  ls
  mjy
  netstat
  ps
  pstree
  top

Aunque el gusano actualmente sólo afecta servidores basados
en Linux, es muy probable que se modifique para atacar
servidores Unix en general.

Lo que hace peligroso a este virus, es la combinación de los
ataques automatizados, la instalación de paquetes de
herramientas potencialmente peligrosas, y el hecho de
irrumpir en un sistema, atacarlo y propagarse, sin necesidad
de ninguna acción humana.

Aun cuando un administrador descubra al gusano, actualice el
sistema e instale las versiones más nuevas o los parches
respectivos, el hacker que recibió vía e-mail las contraseñas
tiene el poder de invadir el sistema otra vez, tal vez con
otros métodos. Y si las contraseñas robadas pertenecen a un
ISP con miles de usuarios, podría llevar un largo rato y
mucho trabajo extra, el publicar nuevas contraseñas y
recobrar el control de la seguridad.

El gusano afecta las siguientes versiones del paquete BIND:

  8.2
  8.2-P1
  8.2.1
  8.2.2-Px
  8.2.3-betas (todas)

Los administradores deberán actualizar las versiones de este
servicio, a los efectos de prevenir este tipo de ataque.

También se aconseja bloquear el acceso al host
“coollion.51.net”, utilizado por el gusano para la descarga
de sus archivos, y también el dominio “china.com”, al que el
gusano envía un e-mail con datos del sistema atacado.

Existe una utilidad llamada "Lionfind" capaz de detectar el
gusano en un sistema infectado, que puede ser bajado de esta
dirección:

  http://www.sans.org/y2k/lionfind-0.1.tar.gz

Esta utilidad solo descubre la presencia del gusano, no lo
elimina.

Otras referencias (en inglés):

www.sans.org/y2k/lion.htm
www.sans.org/current.htm

CERT Advisory CA-2001-02, Multiple Vulnerabilities in BIND
www.cert.org/advisories/CA-2001-02.html

ISC BIND 8 contains buffer overflow in transaction signature
(TSIG) handling code
www.kb.cert.org/vuls/id/196945

Information about the t0rn rootkit
www.sans.org/y2k/t0rn.htm

Redhat Linux RHSA-2001:007-03 - Bind remote exploit
www.redhat.com/support/errata/RHSA-2001-007.html

Debian GNU/Linux DSA-026-1 BIND
www.debian.org/security/2001/dsa-026

SuSE Linux SuSE-SA:2001:03 - Bind 8 remote root compromise
www.suse.com/de/support/security/2001_003_bind8_ txt.txt

Caldera Linux CSSA-2001-008.0 Bind buffer overflow
www.caldera.com/support/security/advisories/CSSA-2001-008.0.txt
www.caldera.com/support/security/advisories/CSSA-2001-008.1.txt

Linux-Mandrake BIND 8.2.3:
www.linux-mandrake.com/en/security/2001/MDKSA-2001-017.php3

Ver también en nuestro sitio (http://www.videosoft.net.uy):

VSantivirus No. 211
4/feb/01 - Sobre las vulnerabilidades BIND

VSantivirus No. 195
19/ene/01 - Linux.Ramen.Worm. Se propaga a gran velocidad en
Linux

VSantivirus No. 229
22/feb/01 - Nueva versión del virus Ramen para Linux
descubierta
____________________________________________________________

Más información sobre la lista de distribución HackMeeting