[SECURITY-L] CAIS-Alerta: Aumento de atividade na porta 901/tcp

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qua Jun 4 15:25:57 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Aumento de atividade na porta 901/tcp
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 4 Jun 2003 15:02:05 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Nos ultimos dias, o CAIS tem identificado um aumento consideravel de
atividade de reconhecimento na porta 901/tcp. O registro e analise de tal
atividade foi possivel gracas aos mecanismos de monitoracao de acesso a
portas mantido pelo CAIS.

Diante desta constatacao, recomenda-se fortemente a analise deste trafego.
Neste contexto, e´ importante considerar:

(i)  quais os servicos formalmente registrados nesta porta e;
(ii) verificar se existem virus ou backdoors associados a eles.

Apos um levantamento feito pelo CAIS, os servicos usualmente associados a
esta porta sao:

        . realsecure-console (901/tcp)
        . smpnameres (901/udp/tcp)
        . samba swat (901/tcp)

As fontes recomendadas para verificacao da existencia de virus e backdoors
sao:

	. http://www.seifried.org/security/ports/
	. http://www.portsdb.org/

O CAIS nao identificou a existencia de vulnerabilidades associadas aos
servicos acima citados e a atividade atual parece estar relacionada com a
procura por maquinas Linux com o servico Swat (Samba Web Admin Tool)
habilitado e acessivel.

No entanto, e´ importante ressaltar que a presenca do servico Swat e´ um
indicativo de que a maquina tambem possui o servico Samba, e portanto,
constitui-se em uma forma alternativa de identificar sua presenca.

Sendo que sao amplamente conhecidas as vulnerabilidades de seguranca
associadas a versoes de Samba anteriores a 2.2.8a, o CAIS recomenda
fortemente aos administradores que fiquem atentos a atividade analoga `a
reportada neste alerta, nas redes sob sua responsabilidade, e solicita que
ela seja oportunamente reportada ao CAIS para analise e cruzamento de
informacoes.

Maiores informacoes sobre as ultimas vulnerabilidades do Samba e sobre o
servico Swat podem ser obtidas nas seguintes urls:

  Samba:
	. http://www.cve.mitre.org
		CAN-2003-0085
		CAN-2003-0196
		CAN-2003-0201
	. http://www.rnp.br/cais/alertas/2003/DDI-07042003.html
	. http://www.samba.org/samba/samba.html

  Swat:
	. http://www.samba.org/samba/GUI/



Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBPt40M+kli63F4U8VAQFmZgP9E3YzBZmksp8SEMv3KXuGg2rg3oMfdnNO
RGbhzA1hqZAF+3IgC96o6QwQUrD/oV1nJZuaje+OF/4teWNdx5GACSMUTGNTyiTK
ZexL5HSAsvUGUT+eAWFXjOB7Na1TwTWoCO2lfHu/BKqfd0waF0PflbnVRPj0e8nB
TFs8CP5PHQs=
=XHvW
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L