[SECURITY-L] CAIS-Alerta: Falso exploit para a vulnerabilidade do OpenSSH
Security Team - UNICAMP
security em unicamp.br
Sex Set 19 10:09:40 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Falso exploit para a vulnerabilidade do OpenSSH
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 19 Sep 2003 10:00:46 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS foi informado de que esta' circulando na comunidade hacker uma
noticia sobre a existencia de um exploit capaz de explorar a recente
vulnerabilidade encontrada no aplicativo OpenSSH, conforme alerta
publicado pelo CAIS em:
http://www.rnp.br/cais/alertas/2003/openssh01.html
O suposto exploit na verdade e' um trojan que ao ser executado em
determinada maquina, age da seguinte forma:
. somente pode ser executado pelo root, caso contrario ocorre um
erro e a execucao e' abortada, exibindo a seguinte mensagem:
"sorry dude need root for rawip"
. ao tentar atacar uma maquina com ssh vulneravel, o trojan finge
um ataque realizando multiplas conexoes contra a porta 22 da
maquina vitima. A mensagem exibida pelo "exploit" e':
"r00ting box..."
. cria uma conta na maquina, chamada de sys3 com UID 0, ou
seja, com o mesmo UID do super-usuario (root). Cada execucao do
"exploit" adicionara' o usuario sys3.
. grava a saida da execucao dos seguintes comandos no arquivo
/tmp/.tmp
- ifconfig -a
- cat /etc/passwd /etc/shadow /root.ssh*/known_hosts
- find /home/ -name known_hosts -exec cat {}
. envia o arquivo /tmp/.tmp para o usuario
m0nkeyhack em supermarkt.de, forjando o usuario de origem como
sendo ownage em gmx.de. Maquinas com suspeita de terem sido
contaminadas com este trojan podem confirmar a
contaminacao, verificando a presenca destes
enderecos de email no arquivo /var/log/maillog.
. no final do processo, o arquivo /tmp/.tmp e' apagado.
Detalhes dos arquivos:
Nome: sshexp.tar.bz2.tar
MD5: 1a34d4428d932d35c0966806b29d5b9c
Nome: sshexp.tar.bz2
MD5: 1a34d4428d932d35c0966806b29d5b9c
Detalhes do conteudo:
Nome: README
MD5: 3b754b2233e9c80bd4070754f6587c94
Nome: buffer.adv
MD5: 4059d198768f9f8dc9372dc1c54bc3c3
Nome: theosshucksass
MD5: 830ad2439d9b9206794e5d1a527f8ee0
Os arquivos acima, quando criados na maquina que executou o "exploit",
possuirao as seguintes caracteristicas: (horarios em GMT-3)
- -rw------- 1 31337 31337 14 Sep 18 18:39 buffer.adv
- -rw------- 1 31337 31337 728 Sep 18 16:10 README
- -rwxr-xr-x 1 31337 31337 9293 Sep 18 18:32 theosshucksass
Maiores informacoes sobre a vulnerabilidade do OpenSSH podem ser
encontradas em:
. Novidades sobre a vulnerabilidade do OpenSSH
http://www.rnp.br/cais/alertas/2003/CA200324.html
. Vulnerabilidade remota no OpenSSH
http://www.rnp.br/cais/alertas/2003/openssh01.html
O CAIS recomenda aos administradores manterem seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes e correcoes
disponibilizadas pelos fabricantes.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBP2r+Bukli63F4U8VAQFXlQQAxmvB/nDnYPAAfgjT4kDZ2gNRN/uAjNfY
AMNImipVEWMVg3Q7Rw2ALZyIQuMbXyUKyauFmpx25PFnjDt4utzC0BhGedihatGP
7s/ACIO0Jlc6cJ7H55rw64SmHdyQHxNpjYXqcglpqmK5fKIQOCXupybZ3FIP+eia
oSHxSpQUOFI=
=fey4
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L