You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-343

[Sun/Solaris][MS/IIS] sadmin/IIS-Wurm greift IIS-Systeme von Solaris aus an
(2001-05-08 20:13:37+00) Druckversion

Quelle: http://www.cert.org/advisories/CA-2001-11.html

Der sadmin/IIS-Wurm verbreitet sich über eine alte Sicherheitslücke im Systemadministrationswerkzeug sadmind unter Solaris 7 und früher. Nachdem er ein System infiziert hat, beginnt er nach Microsoft Internet Information Servers (IIS) sowie weiteren verwundbaren Solaris Systemen zu scannen, um sie ebenfalls anzugreifen.

Betroffene Systeme

  • Sun/Solaris 7 und früher mit verwundbarem sadmind
  • Microsoft IIS 4 ohne den installierten Patch q269862 (MS00-057)
  • Microsoft IIS 5 ohne den installierten Patch q269862 (MS00-057)

Typ der Verwundbarkeit
Internet Worm

Beschreibung

  1. Schon am 1999-12-29 wurde im Sun Microsystems, Inc. Security Bulletin #00191 ein buffer overflow bug im Systemadministrationswerkzeug sadmind beschrieben, dessen Ausnutzung dazu führen kann, daß Angreifer ohne interaktiven Zugang unautorisiert root-Rechte auf verwundbaren Systemen erlangen können.
  2. Am 2000-10-10 veröffentlichte das CERT Coordination Center (CERT/CC) die Vulnerability Note VU#111677, in der die sogenannte Web Server Folder Directory Traversal Schwachstelle der Microsoft Internet Information Services der Versionen 4 und 5 beschrieben ist. Diese Verwundbarkeit erlaubt es Benutzern ohne interaktiven Zugang beliebige Kommandos mit den Privilegien des Benutzerkontos IUSR_Rechnername auszuführen.
Der beschriebene Wurm sadmin/IIS-Wurm nutzt zunächst die in 1. beschriebene Sicherheitslücke im distributed system administration daemon sadmind unter Solaris 7 und früher aus, und kompromittiert verwundbare Systeme.
Nach erfolgreicher Kompromittierung öffnet er eine rootshell auf TCP-Port 600 und installiert eine Kopie des Wurms. Speziell die Öffnung der rootshell macht das angegriffene System für beliebige Angreifer trivial mißbrauchbar. Daneben fügt der Wurm den String "+ +" der Datei .rhosts im Homedirectory des Benutzers root hinzu und installiert und startet Software, die nach weiteren verwundbaren Solaris Systemen sowie nach IIS Syetemen mit der in 2. beschriebenen Sicherheitslücke, im Netz sucht und sie ggf. kompromittiert. Eine Kompromittierung von IIS Systemen wirkt sich in veränderten Webseiten aus.

Spuren/Anzeichen einer Kompromittierung

  1. Solaris:
    • Sylogeinträge, die darauf hindeuten, daß der Prozeß sadmind fehlerhaft beendet wurde. Beispielsweise (entnommen aus o.a. CERT/CC Advisory):
      May  7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
      May  7 02:40:01 carrier.domain.com last message repeated 1 time
      May  7 02:40:03 carrier.domain.com last message repeated 1 time
      May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
      May  7 02:40:03 carrier.domain.com last message repeated 1 time
      May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
      May  7 02:40:08 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Hangup
      May  7 02:40:08 carrier.domain.com last message repeated 1 time
      May  7 02:44:14 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Killed
            
    • Eine rootshell auf TCP-Port 600
    • Vorhandensein der Verzeichnisse
      • /dev/cub/ (enthält die Logs kompromittierter Rechner)
      • /dev/cuc/ (enthält die Schad- und Verbreitungsroutinen)
    • laufende Prozesse, die auf Aktivität des Wurmes hindeuten:
      • /bin/sh /dev/cuc/sadmin.sh
      • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
      • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
      • /bin/sh /dev/cuc/uniattack.sh
      • /bin/sh /dev/cuc/time.sh
      • /usr/sbin/inetd -s /tmp/.f
      • /bin/sleep 300
  2. Microsoft IIS:
    • Modifizierte Webseite(n) mit folgendem Inhalt:
       fuck USA Government
        fuck PoizonBOx
       contact:sysadmcn@yahoo.com.cn
      
    • Logfileeinträge der folgenden Form (entnommen aus o.a. CERT/CC Advisory):
      2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
      2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
      2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
          GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
      2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
          GET /scripts/root.exe /c+echo+.././index.asp 502 -
      

Gefahrenpotential
sehr hoch für verwundbare Solaris Systeme
hoch für Systeme mit verwundbaren IIS
(Hinweise zur Einstufung des Gefahrenpotentials.)

Das RUS-CERT hat bereits Meldungen von mit großer Wahrscheinlichkeit durch diesen Wurm kompromittierten IIS Systemen erhalten.

Gegenmaßnahmen

  1. Sun/Solaris
    Installation folgender Patches zur Behebung der Schwachstelle in sadmind:
    SunOS 5.7108662-01
    SunOS 5.7_x86108663-01
    SunOS 5.6108660-01
    SunOS 5.6_x86108661-01
    SunOS 5.5.1108658-01
    SunOS 5.5.1_x86108659-01
    SunOS 5.5108656-01
    SunOS 5.5_x86108657-01
    AdminSuite Version 2.3104468-18
    AdminSuite Version 2.3_x86104469-18
  2. Microsoft IIS 4:
    Installation des Patches q269862

  3. Microsoft IIS 5:
    Installation des Patches q269862

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.