[hackmeeting] ALERTA LINUXEROS Y ADMINS DE LA LISTA

Miquel miquel en sindominio.net
Sab Mar 24 16:38:06 CET 2001


muchas gracias por el aviso, hubble!

en fanelli, la maquina de sindominio, tenemos la ultima actualizacion del
bind 8.2.3. nuestro "especialista en seguridad" ;-) lo parche? a los diez
minutos de aparecer el aviso del parche para el root exploit remoto en
Debian-security hace casi dos meses:

http://www.debian.org/security/2001/dsa-026

por cierto, el aviso original de este worm est? aqui:
http://www.sans.org/y2k/lion.htm

saludos,

m.

El Saturday, 24 Mar 2001, a las 11:20, Hubble contaba:

> 
> Hol en s,
> 
> de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
> VSantivirus No. 259 - A?o 5 - S?bado 24 de marzo de 2001
> _____________________________________________________________
> Linux/Lion.worm. Peligrosa amenaza para servidores Linux
> __________________________________________________________
> 
> Nombre: Linux/Lion.worm
> Tipo: Gusano de Internet de Acceso Remoto
> Origen: China
> Fecha: 23/mar/01
> Alias: Lion, Linux.Lion.Worm, Lion worm
> 
> Se trata de un gusano de Internet, que afecta servidores bajo
> el sistema operativo Linux. No son  afectadas computadoras
> bajo ninguna versi?n de Windows.
> 
> Para muchos expertos, se trata de un virus mucho m?s
> peligroso que el Ramen (ver VSantivirus No. 195 - A?o 5 -
> Viernes 19 de enero de 2001, "Linux.Ramen.Worm. Se propaga a
> gran velocidad en Linux" y VSantivirus No. 229 - A?o 5 -
> Jueves 22 de febrero de 2001, "Nueva versi?n del virus Ramen
> para Linux descubierta").
> 
> Este gusano se aprovecha de una vulnerabilidad conocida desde
> hace un tiempo (TSIG vulnerability), y la ?nica raz?n de los
> numerosos casos reportados en un plazo de pocas horas, es
> porque son muchos los administradores que no han puesto al
> d?a sus sistemas.
> 
> A diferencia del Ramen, que solo afecta m?quinas bajo Linux
> Red Hat 6.2 o 7.0, Lion se aprovecha de una vulnerabilidad
> que afecta m?quinas bajo Linux, que corran las versiones 8.2,
> 8.2-P1, 8.2.1, 8.2.2-Px, y todas las 8.2.3-betas de BIND
> (Berkeley Internet Name Domain), la aplicaci?n m?s utilizada
> como software de los servidores de nombre en Internet (DNS)
> (ver VSantivirus No. 211 - A?o 5 - Domingo 4 de febrero de
> 2001, "Sobre las vulnerabilidades BIND").
> 
> Esta vulnerabilidad, reportada en enero de 2001, permite la
> ejecuci?n de ?rdenes arbitrarias en el servidor.
> 
> Una solicitud correcta a un servidor DNS corriendo BIND,
> suele ser el nombre de un dominio. La respuesta ser?a la
> direcci?n IP v?lida para acceder a las m?quinas de ese
> dominio.
> 
> Sin embargo, esta vulnerabilidad permite el env?o de
> determinada cadena de caracteres, y como resultado, se puede
> llegar a ejecutar comandos en forma arbitraria, ocasionando
> un desbordamiento de b?fer y ejecutando c?digo malicioso.
> 
> Por otra parte, cada uno de estos sistemas atacados por el
> Lion, se convierte a su vez en atacante, lo que en pocos
> minutos puede ocasionar la ca?da de muchos sistemas, causando
> un grave perjuicio a la navegaci?n por Internet.
> 
> Este gusano descarga sus archivos desde el dominio 51.net, el
> cu?l est? registrado en China.
> 
> Bloquea adem?s el IP 211.100.18.56 para prevenir cualquier
> intento de comunicarse con dicha direcci?n.
> 
> Lion tambi?n puede robar contrase?as de los sistemas
> afectados, y adem?s puede instalar y esconder varias
> herramientas usadas por hackers, y acceder a los sistemas
> afectados con privilegios tales, que le permitan atacar desde
> all? a otros sistemas vulnerables.
> 
> El gusano utiliza una aplicaci?n llamada RANDB para examinar
> al azar redes de clase B. Busca el puerto 53 de TCP, y se
> aprovecha de los sistemas Linux que no han actualizado sus
> sistemas con los parches para las vulnerabilidades BIND
> mencionadas.
> 
> El gusano instala en el sistema atacado, una herramienta
> llamada "t0rn rootkit", y una vez que toma el control de un
> sistema vulnerable, env?a las contrase?as y otro tipo de
> informaci?n a una direcci?n de e-mail con dominio china.com.
> 
> Tambi?n instala versiones "troyanizadas" de SSH y LOGIN.
> 
> La herramienta "t0rn rootkit" reemplaza varios archivos
> binarios en el sistema atacado:
> 
>   du
>   find
>   ifconfig
>   in.telnetd
>   in.fingerd
>   login
>   ls
>   mjy
>   netstat
>   ps
>   pstree
>   top
> 
> Aunque el gusano actualmente s?lo afecta servidores basados
> en Linux, es muy probable que se modifique para atacar
> servidores Unix en general.
> 
> Lo que hace peligroso a este virus, es la combinaci?n de los
> ataques automatizados, la instalaci?n de paquetes de
> herramientas potencialmente peligrosas, y el hecho de
> irrumpir en un sistema, atacarlo y propagarse, sin necesidad
> de ninguna acci?n humana.
> 
> Aun cuando un administrador descubra al gusano, actualice el
> sistema e instale las versiones m?s nuevas o los parches
> respectivos, el hacker que recibi? v?a e-mail las contrase?as
> tiene el poder de invadir el sistema otra vez, tal vez con
> otros m?todos. Y si las contrase?as robadas pertenecen a un
> ISP con miles de usuarios, podr?a llevar un largo rato y
> mucho trabajo extra, el publicar nuevas contrase?as y
> recobrar el control de la seguridad.
> 
> El gusano afecta las siguientes versiones del paquete BIND:
> 
>   8.2
>   8.2-P1
>   8.2.1
>   8.2.2-Px
>   8.2.3-betas (todas)
> 
> Los administradores deber?n actualizar las versiones de este
> servicio, a los efectos de prevenir este tipo de ataque.
> 
> Tambi?n se aconseja bloquear el acceso al host
> ?coollion.51.net?, utilizado por el gusano para la descarga
> de sus archivos, y tambi?n el dominio ?china.com?, al que el
> gusano env?a un e-mail con datos del sistema atacado.
> 
> Existe una utilidad llamada "Lionfind" capaz de detectar el
> gusano en un sistema infectado, que puede ser bajado de esta
> direcci?n:
> 
>   http://www.sans.org/y2k/lionfind-0.1.tar.gz
> 
> Esta utilidad solo descubre la presencia del gusano, no lo
> elimina.
> 
> Otras referencias (en ingl?s):
> 
> www.sans.org/y2k/lion.htm
> www.sans.org/current.htm
> 
> CERT Advisory CA-2001-02, Multiple Vulnerabilities in BIND
> www.cert.org/advisories/CA-2001-02.html
> 
> ISC BIND 8 contains buffer overflow in transaction signature
> (TSIG) handling code
> www.kb.cert.org/vuls/id/196945
> 
> Information about the t0rn rootkit
> www.sans.org/y2k/t0rn.htm
> 
> Redhat Linux RHSA-2001:007-03 - Bind remote exploit
> www.redhat.com/support/errata/RHSA-2001-007.html
> 
> Debian GNU/Linux DSA-026-1 BIND
> www.debian.org/security/2001/dsa-026
> 
> SuSE Linux SuSE-SA:2001:03 - Bind 8 remote root compromise
> www.suse.com/de/support/security/2001_003_bind8_ txt.txt
> 
> Caldera Linux CSSA-2001-008.0 Bind buffer overflow
> www.caldera.com/support/security/advisories/CSSA-2001-008.0.txt
> www.caldera.com/support/security/advisories/CSSA-2001-008.1.txt
> 
> Linux-Mandrake BIND 8.2.3:
> www.linux-mandrake.com/en/security/2001/MDKSA-2001-017.php3
> 
> Ver tambi?n en nuestro sitio (http://www.videosoft.net.uy):
> 
> VSantivirus No. 211
> 4/feb/01 - Sobre las vulnerabilidades BIND
> 
> VSantivirus No. 195
> 19/ene/01 - Linux.Ramen.Worm. Se propaga a gran velocidad en
> Linux
> 
> VSantivirus No. 229
> 22/feb/01 - Nueva versi?n del virus Ramen para Linux
> descubierta
> ____________________________________________________________
> 
> 
> _______________________________________________
> hackmeeting mailing list
> hackmeeting en sindominio.net
> http://www.sindominio.net/cgi-bin/mailman/listinfo/hackmeeting

-- 
Miquel Vidal            | http://mi.barrapunto.com/yonderboy
miquel en sindominio.net   | Proyecto laespiral.org
CSOA el Laboratorio     | Using Debian GNU/Linux 
www.sindominio.net      | GnuPG public information: 1024D/F724244F
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 228 bytes
Descripción: no disponible
Url        : https://listas.sindominio.net/mailman/private/hackmeeting/attachments/20010324/f1b6f375/attachment-0002.pgp


Más información sobre la lista de distribución HackMeeting