[SECURITY-L] CAIS-Alerta: Placas-me de servidores Dell infectadas com Spyware

CSIRT - UNICAMP security em unicamp.br
Ter Jul 27 09:11:39 -03 2010 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Placas-mãe de servidores Dell infectadas com Spyware
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 23 Jul 2010 14:34:12 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

O CAIS está repassando um alerta sobre uma possível infecção nos sistemas 
embarcados de gerência dos servidores Dell PowerEdge modelos R310, R410, 
R510 e T410.

Foi anunciado no fórum de suporte técnico da Dell [1] que algumas placas 
- -mãe que foram substituídas em alguns servidores PowerEdge poderiam estar 
infectadas com o worm W32.Spybot [2]. Segundo a Dell, este worm foi 
encontrado na memória flash da placa mãe e não no firmware da mesma.

Segundo a resposta da Dell no fórum, a empresa está contactando via 
telefone todos os clientes que receberam placas-mãe do lote que pode ter 
sido infectado.

Até o momento da publicação deste alerta a empresa Dell não havia se 
pronunciado oficialmente sobre o problema, respondendo a questões 
relativas a este incidente somente pelo fórum ou pelo e-mail anunciado no 
fórum para este caso [3]. No fórum, a empresa afirma que os clientes que 
receberam o lote de placas-mãe suspeito já foram contactados e que o 
restante das placas em estoque já foram trocadas.

Baseado neste incidente, o CAIS alerta também para a possibilidade de 
recebimento de e-mails fraudulentos (Scams) propondo o download de 
ferramenta para correção deste problema.


SISTEMAS AFETADOS

. Servidores de rack Dell PowerEdge modelo R310
. Servidores de rack Dell PowerEdge modelo R410
. Servidores de rack Dell PowerEdge modelo R510
. Servidores de rack Dell PowerEdge modelo T410


CORRECOES DISPONIVEIS

Recomenda-se entrar em contato com seu representante Dell.


MAIS INFORMACOES

[1] PowerEdge R410 replacement motherboard contains malware?!
    http://en.community.dell.com/support-forums/servers/f/956/t/19339458.aspx

[2] W32.Spybot.Worm
    http://www.symantec.com/security_response/writeup.jsp?docid=2003-053013-5943-99

[3] E-mail de contato com a Dell:
    US_EEC_escalations em dell.com

.   Dell PowerEdge R410 replacement motherboard firmware contains malware
    http://isc.sans.edu/diary.html?storyid=9223


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBTEnSmukli63F4U8VAQGkuAQAoD2TyHG1l1waiijslo0cwTx9/hiN7WJ9
Au4Ey9R+sV7ncgF3tbsJGyMMQIjf0QW2HB9TBW8psuRbr7Q96PGWaVyyD1HImrJ0
HLSyAUfDKKqfp6wHtk8+lxpA0oqBLHzz9AcZuh7C8SRztytllRk3eyFp8dRuhacE
T3+Hz3W6Rbs=
=I8pR
-----END PGP SIGNATURE-----



----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L