Дірки є. Їх не може не бути, Unix / Linux, Security & Hack, статті

Alice D. Saemon, Мережеві рішення

Виявлено новий вірус, що атакує Linux-системи



Adore, третій за рахунком вірус-хробак, який загрожує серверів, що працюють на Linux, був виявлений в четвер.
Adore схожий з Ramen і Lion тим, що сканує веб-сайти, які працюють під Linux, на стійкість до найпростіших засобів кібер-нападу. Зокрема, хробак шукає відому програмну “дірку” в BIND, а також Linux-сервіси LPRng, rpc-statd і wu-ftpd, які можуть бути вразливі для хакера, якщо їх інсталяція не була проведена належним чином.
Коли Adore знаходить вразливе місце в Linux-системі, черв’як замінює частина програмного коду (під назвою “ps”), на “троянську” версію, яка дозволяє створити “чорний хід” для хакера. Вірус проникає в Інтернет-сервіс ICMP (Internet Control Message Protocol), змінюючи його так, щоб програма виконувала всі команди зловмисника, що посилаються через Мережу.
Adore також розсилає важливу системну інформацію по чотирьох різних адресах електронної пошти.
За повідомленням інституту SANS (System Administration, Networking, and Security), Adore швидше за все був запущений 1 квітня, в “День дурнів”. Аналітики відзначають, що новий вірус небезпечний, хоча поширюється не надто швидко.
Кілька компаній, що розробляють антивірусне програмне забезпечення, в даний час працюють над системними оновленнями, які дозволять нейтралізувати новий вірус.
Фахівці з SANS вже розробили першу утиліту, яка знаходить і видаляє Adore з системи. Вона називається “adorefind”. Співробітники SANS залишили на сайті інституту попереджувальне повідомлення, що програмний код вірусу може бути в будь-який час змінений, і тоді буде потрібно оновлення антивіруса.

множинні діри в стандартних утилітах SCO OpenServer

тип атаки: локальна
опубліковано: 13 квітня 2001
доповнено: 14 квітня 2001
вразливі: SCO Open Server 5.0.6, SCO Open Server 5.0.5, SCO Open Server 5.0.4, SCO Open Server 5.0.3,. SCO Open Server 5.0.2, SCO Open Server 5.0.1, SCO Open Server 5.0
Так, “скотина” в минулому місяці виразно переплюнула всіх конкурентів по частотності згадки в BUGTRAQ …
Проблеми обнаружілісьв suid’них (на користувачів bin або root) утилітах, що використовуються для адміністрування принтерів та інших споріднених завдань. Точніше проблема одна – всі перелічені нижче утиліти містять помилку переповнювання буфера, яка виявляється при обробці параметрів командного рядка.
Правильно скориставшись дірою, зловмисник може отримати права користувача bin або root.
Lpstat – генерування і роздруківка звіту про статус принт-сервісу.
Lpfilter – створення, модифікації та відображення фільтрів, використовуваних з lp print service.
lpmove – перенесення запитів на друк з одного принтера на інший.
reject – “заморозка” постановки в чергу завдань для зазначеного принтера.
sendmail – доставка пошти.
rmail – інтерпретація вхідної пошти, що надходить по uucp.
tput – скидання терміналів, опитування бази даних terminfo та інші завдання.
enable – відновлення пересилання завдань на друк на вказаний принтер.
deliver – доставка пошти в рамках MMDF.
disable – “заморозка” перевилкі завдань на друк на вказаний принтер.
cancel – скидання запитів на друк, поставлених у чергу.
accept – прийом і постановка в чергу запитів на друк, посланих на принт-сервер.
Lp – відправка завдань на друк.
Все це лікується одним єдиним патчем: ftp://ftp.sco.com/SSE/ sse072b.tar.Z

Solaris ftpd glob() Expansion LIST Heap Overflow Vulnerability

тип атаки: дистанційна
опубліковано: 9 квітня 2001
доповнено: 10 квітня 2001
вразливі: Sun Solaris 8.0, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1, Sun Solaris 2.5, Sun Solaris 2.4, Sun Solaris 2.3.
FTP-демон в Solaris’е містить помилку переповнення буферу, що відбувається, якщо команда LIST супроводжується таким аргументом, який після обробки функцією glob () розгортається в понад норму довгий рядок.
Переповнення буферу відбувається в динамічно виділяється пам’яті. У атакуючого є таким чином є шанс виконати довільний код, скориставшись описаної дірою.
А щоб їй скористатися, атакуючий повинен мати можливість створювати директорії на атакується хості.
На жаль, ні експлойтів, ні – що найсумніше – патчів на цю тему не пропонується. Нам пропонують блокувати сервіс до виходу патчів, або-якщо це не є вихід – пропонується обмежити доступ і переконатися, що анонімуса не дозволено створювати директорії або писати в них. Ну … теж варіант 🙂

Multiple Vendor BSD ftpd glob() Buffer Overflow Vulnerabilities

тип атаки: дистанційна
опубліковано: 9 квітня 2001
доповнено: 10 квітня 2001
вразливі:

vulnerable: FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 4.0, FreeBSD FreeBSD 3.5.1, FreeBSD FreeBSD 3.5, FreeBSD FreeBSD 3.4, FreeBSD FreeBSD 3.3, FreeBSD FreeBSD 3.2, FreeBSD FreeBSD 3.1, FreeBSD FreeBSD 3.0, FreeBSD FreeBSD 2.2.8, FreeBSD FreeBSD 2.2.6, FreeBSD FreeBSD 2.2.5, FreeBSD FreeBSD 2.2.4, FreeBSD FreeBSD 2.2.3, FreeBSD FreeBSD 2.2.2, FreeBSD FreeBSD 2.2, NetBSD NetBSD 1.5, NetBSD NetBSD 1.4.3, NetBSD NetBSD 1.4.2, NetBSD NetBSD 1.4.1, NetBSD NetBSD 1.4, NetBSD NetBSD 1.3.3, NetBSD NetBSD 1.3.2, NetBSD NetBSD 1.3.1, NetBSD NetBSD 1.3, NetBSD NetBSD 1.2.1, OpenBSD OpenBSD 2.8, OpenBSD OpenBSD 2.7, OpenBSD OpenBSD 2.6, OpenBSD OpenBSD 2.5, OpenBSD OpenBSD 2.4, OpenBSD OpenBSD 2.3, SGI IRIX 6.5.8, SGI IRIX 6.5.7, SGI IRIX 6.5.6, SGI IRIX 6.5.5, SGI IRIX 6.5.4, SGI IRIX 6.5.3m, SGI IRIX 6.5.3f, SGI IRIX 6.5.3, SGI IRIX 6.5.2m, SGI IRIX 6.5.11, SGI IRIX 6.5.10, SGI IRIX 6.5.1, SGI IRIX 6.5
Щоб користувачі Solaris не відчували себе одинокими в своїй біді, народ вирішив заодно протестувати і інші операційні системи на наявність чудового бага glob (). Е що ви думаєте, тут же виявилося, що і BSD різних порід і мастей мають аналогічну проблему. Та й IRIX зачепило 😉
Власне, все те ж саме, що і у випадку з Solaris’ом. Під час операцій “розбору” прийшли даних ftp-демон наївно припускає, що користувальницький введення не може перевищувати 512 байт. Саме настільки даних зазвичай зчитується з сокета за один раз. В результаті цього припущення, certain memory copy operations involving user data lack bounds checking.
Скориставшись якимись метасимволів для роздування рядків з іменами файлів в момент інтерпретації у функції glob (), користувачі можуть викликати стан переповнення буферу. Як було сказано вище, для того, щоб скористатися діркою, атакуючий повинен мати право створювати директорії, або ж директорії з досить довгими іменами повинні вже прістутсвовать на сервері. Природно, якщо у зловмисника все вийде, він буде мати доступ до системи з правами root.
Експлойтів як і раніше немає (прикро-то як ;), а патчем розродилися поки тільки розробники OpenBSD. Ось він патч: ftp://ftp.openbsd.org/pub/OpenBSD/ patches/2.8/common/025_glob.patch

HP-UX ftpd glob() Expansion STAT Buffer Overflow Vulnerability

тип атаки: дистанційна
опубліковано: 9 квітня 2001
доповнено: 10 квітня 2001
вразливі: HP HP-UX 11.0, HP HP-UX 10.30, HP HP-UX 10.20, HP HP-UX 10.10, HP HP-UX 10.0
Не відстає від побратимів і операційна система з ніжним ім’ям HP-UX. Замість команди LIST пропонується використовувати STAT, в іншому – все те ж саме (див. 2 ​​попередніх “дироопісанія”).
Експлойтів і патчів в прямої видимості не спостерігається: (

SSH Secure Shell Denial 

of Service Vulnerability
тип атаки: дистанційна
опубліковано: 16 березня 2001
доповнено: 19 березня 2001
вразливі:

vulnerable: SSH Communications Security SSH 2.4

— Microsoft Windows 98

— Microsoft Windows 95

— Microsoft Windows NT 4.0

— Microsoft Windows 2000

not vulnerable: SSH Communications Security SSH 2.5

— Microsoft Windows 98

— Microsoft Windows 95

— Microsoft Windows NT 4.0

— Microsoft Windows 2000
Опис діри лаконічно і сумбурно до повного неподобства. Ну ладно, за що купила – за те й продаю.
Якщо атакуючий встановлює безліч з’єднань з хостом (треба розуміти, з SSH-демоном), SSH (треба розуміти він же, а не клієнт). Для приведення до нормального вигляду сервіс потрібно рестартануть.
Експлойтів, як і слід було очікувати, немає, патчів немає, рекомендацій немає, вобщем, все погано …

Alt-N MDaemon IMAP DoS Vulnerability

тип атаки: дистанційна
опубліковано: 23 березня 2001
доповнене: 23 березня 2001
вразливі: Alt-N MDaemon 3.5.6 для Windows 98, Windows 95, Windows NT 4.0, Windows 2000.
Дана діра проявляється при заборі пошти через IMAP-сервіс. Коли ви залогінився і посилаєте команди SELECT або EXAMINE з довжиною рядка більше 250 символів, MDaemon обриває поточне з’єднання і відкидає нові з’єднання до IMAP-сервісу. В результаті необхідний перезапуск сервісу.
Нижче наведено приклад експлойта, наданий
nitr0s@hotmail.com

* OK company.mail IMAP4rev1 MDaemon 3.5.6 ready

1 LOGIN JOE PASSWORD

* OK LOGIN completed

1 SELECT AAAAAAA….
На жаль, солюшн відсутня.

Website Professional Web Directory Disclosure Vulnerability

тип атаки: дистанційна
опубліковано: 16 березня 2001
доповнене: 20 березня 2001
вразливі: OReilly Software Website Professional 2.5.4 для Windows 98, Windows 95, Windows NT 4.0, Windows 2000.
Запитуємо у сервера спеціальний URL, і сервер виводить кореневої каталог диска.
Нижче наведено приклад експлойта, наданий Roberto Moreno :

www.example.com/:/
На даний момент Солюшн немає.

Ntpd Remote Buffer Overflow Vulnerability

тип: дистанційна
опубліковано: 16 березня 2001
доповнене: 20 березня 2001
вразливі: Dave Mills ntpd 4.0.99k, Dave Mills ntpd 4.0.99j, Dave Mills ntpd 4.0.99i, Dave Mills ntpd 4.0.99h, Dave Mills ntpd 4.0.99g, Dave Mills ntpd 4.0.99f, Dave Mills ntpd 4.0.99e , Dave Mills ntpd 4.0.99d, Dave Mills unix 4.0.99c, Dave Mills ntpd 4.0.99b, Dave Mills ntpd 4.0.99a, Dave Mills ntpd 4.0.99, Dave Mills xntp3 5.93e, Dave Mills xntp3 5.93d, Dave Mills xntp3 5.93c, Dave Mills xntp3 5.93b, Dave Mills xntp3 5.93a, Dave Mills xntp3 5.93.
NTP (Network Time Protocol) використовується для синхронізації часу між компьтера. В якості транспорту використовує протокол UDP.
Як видно з вищезгаданого списку, багато версії ntpd мають наступну дірку. Атакуючий може викликати збій у роботі сервісу або запустити свій код на віддаленій машині, в результаті отримавши права доступу адміністратора, або викликати відмову доступу до сервісу.
Нижче наведено адресу експлойта, написаного Przemyslaw Frasunek :

http://www.securityfocus.com/data/vulnerabilities/exploits/ntpd-exp.c
Повний список патчів (дуже великий 😉 знаходиться за адресою http://www. securityfocus.com / vdb / bottom.html? section = solution & vid = 2540

Ultimate Bulletin Board Forum Password Bypass Vulnerability

тип атаки: дистанційна
опубліковано: 5 квітня 2001
доповнене: 9 квітня 2001
вразливі: Infopop Ultimate Bulletin Board 5.4.7e, Infopop Ultimate Bulletin Board 5.43
Невразливі: Infopop Ultimate Bulletin Board 6.0.3, Infopop Ultimate Bulletin Board 6.0.2, Infopop Ultimate Bulletin Board 6.0.1, Infopop Ultimate Bulletin Board 6.0.
Якщо модифіковані URL так, щоб скрипт пропускав його, атакуючий може потрапити на форум без аутентифікації, читати повідомлення інших форумів.
Експлойтів надано не було, так само як і рекомендацій щодо вирішення проблеми.

Cisco PIX TACACS+ Denial of Service Vulnerability

тип атаки: дистанційна
опубліковано: 5 квітня 2001
доповнене: 9 квітня 2001
вразливі: Cisco PIX Firewall 5.1.4
невразливі: Cisco PIX Firewall 5.3.1
PIX – корпоративний файрволл, розроблений Cisco Systems для контролю доступу і фільтрації пакетів.
PIX-файрволл використовує TACACS +, проблема в якому і є причиною відмови в доступі.
При прийомі великої кількості запитів на аутентифікацію від неавторизованих користувачів, сервіс TACACS + зависає і забирає всі ресурси системи, в результаті файрволл не вистачає ресурсів і він перестає працювати. Допомагає тільки перезапуск сервера. Дана діра “працездатна” по обидві сторони файрволла.
Нижче наведено приклад експлойта для внутрішньої системи:

while (true); do (wget http://external.system 2>/dev/null &); done
Рішенням проблеми на Cisco PIX Firewall 5.1.4 – апгрейд до Cisco upgrade PIX Firewall 5.3.1

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*