RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Alerta do CAIS ALR-19092003

Falso exploit para a vulnerabilidade do OpenSSH

[CAIS, 19.09.2003, revisão 01]


O CAIS foi informado de que está circulando na comunidade hacker uma notícia sobre a existência de um exploit capaz de explorar a recente vulnerabilidade encontrada no aplicativo OpenSSH, conforme alerta publicado pelo CAIS em:

http://www.rnp.br/cais/alertas/2003/openssh01.html

O suposto exploit na verdade é um trojan que ao ser executado em determinada máquina, age da seguinte forma:

  • somente pode ser executado pelo root, caso contrário ocorre um erro e a execução é abortada, exibindo a seguinte mensagem:
    "sorry dude need root for rawip"

  • ao tentar atacar uma máquina com ssh vulnerável, o trojan finge um ataque realizando múltiplas conexões contra a porta 22 da máquina vítima. A mensagem exibida pelo "exploit" é:
    "r00ting box..."

  • cria uma conta na máquina, chamada de sys3 com UID 0, ou seja, com o mesmo UID do super-usuário (root). Cada execução do "exploit" adicionará o usuário sys3.

  • grava a saída da execução dos seguintes comandos no arquivo /tmp/.tmp
    - ifconfig -a
    - cat /etc/passwd /etc/shadow /root.ssh*/known_hosts
    - find /home/ -name known_hosts -exec cat {}

  • envia o arquivo /tmp/.tmp para o usuário m0nkeyhack@supermarkt.de, forjando o usuário de origem como sendo ownage@gmx.de. Máquinas com suspeita de terem sido contaminadas com este trojan podem confirmar a contaminação, verificando a presença destes endereços de email no arquivo /var/log/maillog.

  • no final do processo, o arquivo /tmp/.tmp e' apagado.

Detalhes dos arquivos:

Nome: sshexp.tar.bz2.tar
MD5: 1a34d4428d932d35c0966806b29d5b9c

Nome: sshexp.tar.bz2
MD5: 1a34d4428d932d35c0966806b29d5b9c

Detalhes do conteúdo:

Nome: README
MD5: 3b754b2233e9c80bd4070754f6587c94

Nome: buffer.adv
MD5: 4059d198768f9f8dc9372dc1c54bc3c3

Nome: theosshucksass
MD5: 830ad2439d9b9206794e5d1a527f8ee0

Os arquivos acima, quando criados na máquina que executou o "exploit", possuirão as seguintes características: (horários em GMT-3)

- -rw------- 1 31337 31337 14 Sep 18 18:39 buffer.adv
- -rw------- 1 31337 31337 728 Sep 18 16:10 README
- -rwxr-xr-x 1 31337 31337 9293 Sep 18 18:32 theosshucksass

Maiores informações sobre a vulnerabilidade do OpenSSH podem ser encontradas em:

Novidades sobre a vulnerabilidade do OpenSSH
http://www.rnp.br/cais/alertas/2003/CA200324.html

Vulnerabilidade remota no OpenSSH
http://www.rnp.br/cais/alertas/2003/openssh01.html

O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções disponibilizadas pelos fabricantes.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303