RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-ALR-23082001

Ataques contra servidores AIX

[CAIS, 23.08.2001, revisão 01]

Resumo

O CAIS tem acompanhado um crescimento considerável no número de ataques contra servidores AIX, especialmente aqueles que abrigam servidores WWW. O intuito deste documento é alertar a administradores da comunidade Internet/BR sobre este fato, de modo que sejam tomadas as devidas providências caso seja necessário.

1. Detalhes

Um grupo hacker chamado de "Last Stage of Delirium (LSD)" tornou públicos uma serie de exploits (programas que exploram vulnerabilidades de segurança) que permitem acesso remoto em sistemas AIX. Estes exploits estão sendo utilizados por diversos grupos hackers para realizar ataques contra sites Web, visando a troca de suas páginas. Na maioria dos casos, são exploradas velhas e conhecidas vulnerabilidades em sistemas nos quais não foram aplicadas as devidas correções.

Apenas a título de informacao, o Grupo "Last Stage of Delirium" foi o ganhador de um concurso de segurança que visava invadir um sistema ARGOS-PitBull, tido até então como o mais seguro e inviolavel.

As estatísticas de incidentes reportados ao CAIS comprovam que no período de 22 de junho de 2000 até 26 de julho de 2001, 15 sistemas AIX tinham sido alvos de trocas de páginas e desde o dia 17 de agosto foram atacados e registrados na base de dados, pelo menos, 43 novos sistemas.

2. Sistemas afetados

As versões de AIX visadas nos ataques sao: AIX 4.1, 4.2, 4.3

3. Exploits

Os exploits utilizam as seguintes vulnerabilidades:

08/1997 /usr/bin/X11/xlock AIX 4.1 4.2
08/1997 /usr/sbin/lquerylv AIX 4.1 4.2
12/1997 /usr/bin/nslookup AIX 4.1 4.2
12/1997 /usr/lib/lpd/pio/etc/piodmgrsu AIX 4.1 4.2 4.3
04/1998 /usr/dt/bin/dtprintinfo AIX 4.1 4.2
07/1998 rpc.ttdbserver AIX 4.1 4.2
10/1998 sdrd AIX 4.1 4.2
05/1999 /usr/dt/bin/dtaction AIX 4.1 4.2 4.3
08/1999 ftpd AIX 4.3
10/1999 pdnsd AIX 4.1 4.2
03/2000 /usr/sbin/mkatmpvc AIX 4.1 4.2 4.3
03/2000 /usr/sbin/chatmpvc AIX 4.1 4.2 4.3
03/2000 /usr/sbin/rmatmpvc AIX 4.1 4.2 4.3
06/2000 /usr/lpp/UMS/bin/cdmount AIX 4.3
06/2000 /usr/sbin/mkatmpvc (2) AIX 4.3
09/2000 /usr/lib/lpd/pio/etc/piomkapqd AIX 4.2 4.3
09/2000 /usr/bin/setsenv AIX 4.1 4.2 4.3
10/2000 /usr/bin/portmir AIX 4.2 4.3
12/2000 /usr/lib/lpd/piobe AIX 4.1 4.2 4.3
12/2000 /usr/lib/lpd/digest AIX 4.1 4.2 4.3

4. Aplicação de correções

O CAIS solicita aos administradores de sistemas AIX que se certifiquem se foram devidamente aplicadas as correções a problemas de segurança já divulgados, principalmente os listadas acima.

Maiores informações sobre seguranca em AIX podem ser obtidas na página da IBM.

http://www-03.ibm.com/systems/power/software/aix/security.html

O CAIS está à disposição para esclarecimentos e recomenda que este alerta seja amplamente divulgado.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais