Дыры в Unix

adm  •  15 April, 2008

Adore, третий по счету вирус-червь, который угрожает серверам, работающим на Linux.

Adore схож с Ramen и Lion тем, что сканирует вэб-сайты, которые работают под Linux, на устойчивость к простейшим средствам кибер-нападения. В частности, червь ищет известную программную "дыру" в BIND, а также Linux-сервисы LPRng, rpc-statd и wu-ftpd, которые могут быть уязвимы для хакера, если их инсталляция не была проведена должным образом.
Когда Adore находит уязвимое место в Linux-системе, червь заменяет часть программного кода (под названием "ps"), на "троянскую" версию, которая позволяет создать "черный ход" для хакера. Вирус проникает в Интернет-сервис ICMP (Internet Control Message Protocol), изменяя его так, чтобы программа выполняла все команды злоумышленника, посылаемые через Сеть.
Adore также рассылает важную системную информацию по четырем различным адресам электронной почты.
По сообщению института SANS (System Administration, Networking, and Security), Adore скорее всего был запущен 1 апреля, в "День дураков". Аналитики отмечают, что новый вирус опасен, хотя распространяется не слишком быстро.
Несколько компаний, разрабатывающих антивирусное программное обеспечение, в настоящее время работают над системными обновлениями, которые позволят нейтрализовать новый вирус.
Специалисты из SANS уже разработали первую утилиту, которая находит и удаляет Adore из системы. Она называется "adorefind". Сотрудники SANS оставили на сайте института предупредительное сообщение, что программный код вируса может быть в любое время изменен, и тогда потребуется обновление антивируса.

множественные дыры в стандартных утилитах SCO OpenServer
тип атаки: локальная
опубликовано: 13 апреля 2001 г.
дополнено: 14 апреля 2001 г.
уязвимы: SCO Open Server 5.0.6, SCO Open Server 5.0.5, SCO Open Server 5.0.4, SCO Open Server 5.0.3,. SCO Open Server 5.0.2, SCO Open Server 5.0.1, SCO Open Server 5.0
Да, "скотина" в прошедшем месяце определенно переплюнула всех конкурентов по частотности упоминания в BUGTRAQ...
Проблемы обнаружилисьв suid'ных (на пользователей bin или root) утилитах, используемых для администрирования принтеров и других родственных задач. Точнее проблема одна — все нижеперечисленные утилиты содержат ошибку переполнения буфера, проявляющуюся при обработке параметров коммандной строки.
Правильно воспользовавшись дырой, злоумышленник может получить права пользователя bin или root.
Lpstat — генерировани и распечатка отчета о статусе принт-сервиса.
Lpfilter — создание, модификациия и отображение фильтров, используемых с lp print service.
lpmove — перенос запросов на печать с одного принтера на другой.
reject — "заморозка" постановки в очередь заданий для указанного принтера.
sendmail — доставка почты.
rmail — интерпретация входящей почты, поступающей по uucp.
tput — сброс терминалов, опрос базы данных terminfo и другие задачи.
enable — возобновление пересылки заданий на печать на указанный принтер.
deliver — доставка почты в рамках MMDF.
disable — "заморозка" перевылки заданий на печать на указанный принтер.
cancel — сброс запросов на печать, поставленных в очередь.
accept — прием и постановка в очередь запросов на печать, посланных на принт-сервер.
Lp — отправка заданий на печать.
Все это лечится одним единственным патчем: ftp://ftp.sco.com/SSE/ sse072b.tar.Z

Solaris ftpd glob() Expansion LIST Heap Overflow Vulnerability
тип атаки: удаленная
опубликовано: 9 апреля 2001 г.
дополнено: 10 апреля 2001 г.
уязвимы: Sun Solaris 8.0, Sun Solaris 7.0, Sun Solaris 2.6, Sun Solaris 2.5.1, Sun Solaris 2.5, Sun Solaris 2.4, Sun Solaris 2.3.
FTP-демон в Solaris'е содержит ошибку переполнения буффера, которое происходит, если команда LIST сопровождается таким аргументом, который после обработки функцией glob() разворачивается в сверх нормы длинную строку.
Переполнение буффера происходит в динамически выделяемой памяти. У атакующего есть таким образом есть шанс выполнить произвольный код, воспользовавшись описанной дырой.
А чтобы ей воспользоватся, атакующий должен иметь возможность создавать директории на атакуемом хосте.
К сожалению, ни эксплойтов, ни — что самое печальное — патчей на эту тему не предлагается. Нам предлагают блокировать сервис до выхода патчей, или -если это не есть выход — предлагается ограничить доступ и убедиться, что анонимусам не разрешено создавать директории или писать в них. Ну... тоже вариант:-)

Multiple Vendor BSD ftpd glob() Buffer Overflow Vulnerabilities
тип атаки: удаленная
опубликовано: 9 апреля 2001 г.
дополнено: 10 апреля 2001 г.
уязвимы:
vulnerable: FreeBSD FreeBSD 4.2, FreeBSD FreeBSD 4.1.1, FreeBSD FreeBSD 4.1, FreeBSD FreeBSD 4.0, FreeBSD FreeBSD 3.5.1, FreeBSD FreeBSD 3.5, FreeBSD FreeBSD 3.4, FreeBSD FreeBSD 3.3, FreeBSD FreeBSD 3.2, FreeBSD FreeBSD 3.1, FreeBSD FreeBSD 3.0, FreeBSD FreeBSD 2.2.8, FreeBSD FreeBSD 2.2.6, FreeBSD FreeBSD 2.2.5, FreeBSD FreeBSD 2.2.4, FreeBSD FreeBSD 2.2.3, FreeBSD FreeBSD 2.2.2, FreeBSD FreeBSD 2.2, NetBSD NetBSD 1.5, NetBSD NetBSD 1.4.3, NetBSD NetBSD 1.4.2, NetBSD NetBSD 1.4.1, NetBSD NetBSD 1.4, NetBSD NetBSD 1.3.3, NetBSD NetBSD 1.3.2, NetBSD NetBSD 1.3.1, NetBSD NetBSD 1.3, NetBSD NetBSD 1.2.1, OpenBSD OpenBSD 2.8, OpenBSD OpenBSD 2.7, OpenBSD OpenBSD 2.6, OpenBSD OpenBSD 2.5, OpenBSD OpenBSD 2.4, OpenBSD OpenBSD 2.3, SGI IRIX 6.5.8, SGI IRIX 6.5.7, SGI IRIX 6.5.6, SGI IRIX 6.5.5, SGI IRIX 6.5.4, SGI IRIX 6.5.3m, SGI IRIX 6.5.3f, SGI IRIX 6.5.3, SGI IRIX 6.5.2m, SGI IRIX 6.5.11, SGI IRIX 6.5.10, SGI IRIX 6.5.1, SGI IRIX 6.5
Дабы пользователи Solaris не чувствовали себя одинокими в своей беде, народ решил заодно протестировать и другие операционные системы на наличие замечательного бага glob(). Е что вы думаете, тут же оказалось, что и BSD различных пород и мастей имеют аналогичную проблему. Да и IRIX зацепило;)
Собственно, все то же самое, что и в случае с Solaris'ом. Во время операций "разбора" пришедших данных ftp-демон наивно предполагает, что пользовательский ввод не может превышать 512 байт. Именно столь данных обычно считывается из сокета за один раз. В результате этого предположения, certain memory copy operations involving user data lack bounds checking.
Воспользовавшись некими метасимволами для раздувания строк с именами файлов в момент интерпретации в функции glob(), пользователи могут вызвать состояние переполнения буфера. Как было сказано выше, для того, чтобы воспользоваться дырой, атакующий должен иметь право создавать директории, или же директории с достаточно длинными именами должны уже пристутсвовать на сервере. Естественно, если у злоумышленника все получится, он будет иметь доступ к системе с правами root.
Эксплойтов по-прежнему нет (обидно-то как;), а патчем разродились пока только разработчики OpenBSD. Вот он патч: ftp://ftp.openbsd.org/pub/OpenBSD/ patches/2.8/common/025_glob.patch

HP-UX ftpd glob() Expansion STAT Buffer Overflow Vulnerability
тип атаки: удаленная
опубликовано: 9 апреля 2001 г.
дополнено: 10 апреля 2001 г.
уязвимы: HP HP-UX 11.0, HP HP-UX 10.30, HP HP-UX 10.20, HP HP-UX 10.10, HP HP-UX 10.0
Не отстает от собратьев и операционная система с нежным именем HP-UX. Вместо команды LIST предлагается использовать STAT, в остальном — все то же самое (см. 2 предыдущих "дыроописания").
Эксплойтов и патчей в прямой видимости не наблюдается:(

SSH Secure Shell Denial
of Service Vulnerability
тип атаки: удаленная
опубликовано: 16 марта 2001 г.
дополнено: 19 марта 2001 г.
уязвимы:
vulnerable: SSH Communications Security SSH 2.4
— Microsoft Windows 98
— Microsoft Windows 95
— Microsoft Windows NT 4.0
— Microsoft Windows 2000
not vulnerable: SSH Communications Security SSH 2.5
— Microsoft Windows 98
— Microsoft Windows 95
— Microsoft Windows NT 4.0
— Microsoft Windows 2000
Описание дыры лаконично и сумбурно до полного безобразия. Ну ладно, за что купила — за то и продаю.
Если атакующий устанавливает множество соединений с хостом (надо понимать, с SSH-демоном), SSH (надо понимать он же, а не клиент). Для приведения к нормальному виду сервис требуется рестартануть.
Эксплойтов, как и следовало ожидать, нет, патчей нет, рекомендаций нет, вобщем, все плохо...

Alt-N MDaemon IMAP DoS Vulnerability
тип атаки: удаленная
опубликовано: 23 марта 2001
дополненно: 23 марта 2001
уязвимы: Alt-N MDaemon 3.5.6 для Windows 98, Windows 95, Windows NT 4.0, Windows 2000.
Данная дыра проявляется при заборе почты через IMAP-сервис. Когда вы залогинились и посылаете команды SELECT или EXAMINE с длиной строки более 250 символов, MDaemon обрывает текущее соединение и отвергает новые соединения к IMAP-сервису. В результате необходим перезапуск сервиса.
Ниже приведен пример эксплойта, предоставленный nitr0s.com:

* OK company.mail IMAP4rev1 MDaemon 3.5.6 ready
1 LOGIN JOE PASSWORD
* OK LOGIN completed
1 SELECT AAAAAAA....
К сожалению, солюшн отсутствует.

Website Professional Web Directory Disclosure Vulnerability
тип атаки: удаленная
опубликовано: 16 марта 2001
дополненно: 20 марта 2001
уязвимы: OReilly Software Website Professional 2.5.4 для Windows 98, Windows 95, Windows NT 4.0, Windows 2000.
Запрашиваем у сервера специальный URL, и сервер выводит корневой каталог диска.
Ниже приведен пример эксплойта, предоставленный Roberto Moreno :
www.example.com/:/
На данный момент солюшна нет.

Ntpd Remote Buffer Overflow Vulnerability
тип: удаленная
опубликовано: 16 марта 2001
дополненно: 20 марта 2001
уязвимы: Dave Mills ntpd 4.0.99k, Dave Mills ntpd 4.0.99j, Dave Mills ntpd 4.0.99i, Dave Mills ntpd 4.0.99h, Dave Mills ntpd 4.0.99g, Dave Mills ntpd 4.0.99f, Dave Mills ntpd 4.0.99e, Dave Mills ntpd 4.0.99d, Dave Mills unix 4.0.99c, Dave Mills ntpd 4.0.99b, Dave Mills ntpd 4.0.99a, Dave Mills ntpd 4.0.99, Dave Mills xntp3 5.93e, Dave Mills xntp3 5.93d, Dave Mills xntp3 5.93c, Dave Mills xntp3 5.93b, Dave Mills xntp3 5.93a, Dave Mills xntp3 5.93.
NTP (Network Time Protocol) используется для синхронизации времени между компьтерами. В качестве транспорта использует протокол UDP.
Как видно из вышеперечисленного списка, многие версии ntpd имеют следующую дыру. Атакующий может вызвать сбой в работе сервиса или запустить свой код на удаленной машине, в результате получив права доступа администратора, либо вызвать отказ доступа к сервису.
Ниже приведен адрес эксплойта, написанного Przemyslaw Frasunek :
http://www.securityfocus.com/data/vulnerabilities/exploits/ntpd-exp.c
Полный список патчей (очень большой;) находится по адресу http://www. securityfocus.com/vdb/bottom.html?section=solution&vid=2540

Ultimate Bulletin Board Forum Password Bypass Vulnerability
тип атаки: удаленная
опубликовано: 5 апреля 2001
дополненно: 9 апреля 2001
уязвимы: Infopop Ultimate Bulletin Board 5.4.7e, Infopop Ultimate Bulletin Board 5.43
Неуязвимы: Infopop Ultimate Bulletin Board 6.0.3, Infopop Ultimate Bulletin Board 6.0.2, Infopop Ultimate Bulletin Board 6.0.1, Infopop Ultimate Bulletin Board 6.0.
Если модифицировать URL так, чтобы скрипт пропускал его, атакующий может попасть на форум без аутентификации, читать сообщения других форумов.
Эксплойтов предоставлено не было, равно как и рекомендаций по решению проблемы.

Cisco PIX TACACS+ Denial of Service Vulnerability
тип атаки: удаленная

уязвимы: Cisco PIX Firewall 5.1.4
неуязвимы: Cisco PIX Firewall 5.3.1
PIX — корпоративный файрволл, разработанный Cisco Systems для контроля доступа и фильтрации пакетов.
PIX-файрволл использует TACACS+, проблема в котором и является причиной отказа в доступе.
При приеме большого количества запросов на аутентификацию от неавторизованных пользователей, сервис TACACS+ зависает и забирает все ресурсы системы, в результате файрволлу не хватает ресурсов и он перестает работать. Помогает только перезапуск сервера. Данная дыра "работоспособна" по обе стороны файрволла.
Ниже приведен пример эксплойта для внутренней системы:
while (true); do (wget http://external.system 2>/dev/null &); done
Решением проблемы на Cisco PIX Firewall 5.1.4 — апгрейд до Cisco upgrade PIX Firewall 5.3.1

Комментарии

Нет комментариев. Вы можете быть первым!

Оставить комментарий