RNP > Serviços > Segurança em redes > Alertas do CAIS

Worm explora falha no telnet.d em sistemas Sun Solaris

USCERT-TA07-059A

[CAIS, 02.03.2007-16:54, revisão 01]

O CAIS está repassando o alerta do US-CERT, intitulado "TA07-059A - Sun Solaris Telnet Worm", que trata da circulação de um worm capaz de explorar uma vulnerabilidade no telnet.d em sistemas Sun Solaris, devidamente anunciada pelo CAIS em 12 de Fevereiro de 2007 (veja seção "Mais informações" [1]).

A vulnerabilidade divulgada anteriormente permite ao worm conectar-se com privilégios elevados no sistema vulnerável através do daemon telnet.d (porta 23/TCP) de sistemas Sun Solaris. Como a vulnerabilidade é relativamente simples de ser explorada, tanto o worm como um atacante que explorassem esta vulnerabilidade com sucesso poderiam obter o controle total sobre o sistema afetado.

As características do worm incluem:

• Exploração da vulnerabilidade no telnet.d em Sun Solaris conectando-se por telnet como usuários adm ou lp;
• Mudança de permissão do arquivo /var/adm/wtmpx para -rw-r--rw-
• Criação do diretório .adm em /var/adm/sa/
• Adição do arquivo .profile em /var/adm/ e /var/spool/lp/
• Instalação de um backdoor através de um shell autenticável na porta 32982/TCP
• Modificação no contrab dos usuários adm e lp
• Scan de outros sistemas em busca do serviço telnet (23/TCP)

A Sun publicou informações em um alerta próprio onde incluiu um script que desabilita o daemon telnet e desfaz algumas ações conhecidas executadas pelo worm. (veja seção "Mais informações" [2])

Sistemas afetados:

• Sun Solaris 5.10
• Sun Solaris 5.11

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

• Solaris 10 X86 - aplicar patch 120069-02 ou posterior
• Solaris 10 Sparc - aplicar patch 120068-02 ou posterior

Medidas paliativas:

As seguintes medidas paliativas podem ser utilizadas de forma a se contornar os problemas causados pela vulnerabilidade em questão:

• Desabilitar o serviço Telnet (in.telnetd). Isto pode ser feito pelo seguinte comando:
  $ svcadm disable telnet
   
• Outra maneira de desabilitar o serviço:
  $ inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
   
• Limitar os endereços IP que podem se comunicar com o servidor.

Lembre-se de que Telnet é um serviço que realiza autenticação em texto puro, ou seja, as credenciais de acesso transitam sem proteção criptográfica pela rede. Outros serviços que têm as mesmas características são rlogin e FTP. O CAIS recomenda o uso de serviços de login remoto mais seguros, como SSH.

Mais informações:

• Alerta do CAIS 20070212 - Vulnerabilidade no in.telnetd no Solaris [1]
• TA07-059A - Sun Solaris Telnet Worm
• 102802 - Security Vulnerability in the in.telnetd(1M) Daemon May Allow Unauthorized Remote Users to Gain Access to a Solaris Host
• 28 Feb 2007 - Solaris in.telnetd worm seen in the wild + inoculation script [2]
• SANS Internet Storm Center - Another good reason to stop using telnet
• SunSolve - Security Resources
• CERT Advisory CA-1994-01 Ongoing Network Monitoring Attacks

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais