You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-961

[Generic/OpenSSL] Wurm nutzt Schwachstellen in OpenSSL aus
(2002-09-14 14:41:59.190426+00) Druckversion

Quelle: http://lists.cert.uni-stuttgart.de/pipermail/incidents/2002-September/000005.html

Es kursiert ein Wurm, der eine Schwachstelle in mod_ssl/OpenSSL zur Verbreitung ausnutzt.

Betroffene Systeme

  • OpenSSL-Versionen des 0.9.6-Astes bis einschließlich Version 0.9.6d
  • OpenSSL-Versionen des 0.9.7-Astes bis einschließlich Version 0.9.7-beta2
  • frühere Versionen von OpenSSL (z.B. 0.9.5)

Nicht betroffene Systeme

  • Systeme, die OpenSSL 0.9.6d zur Implementierung eines SSL-Servers verwenden, aber nicht die Unterstützung für SSL-Version 2 aktivieren.

Einfallstor
Der kursierende Wurm greift Systeme an, die sowohl HTTP (TCP-Port 80) als auch HTTPS (TCP-Port 443) anbieten.

Auswirkung

  • Der Wurm öffnet auf erfolgreich angegriffenen Systemen eine Hintertür auf UDP-Port 2002.
  • Offenbar sieht der Wurm bzw. die Hintertür das Ausführen von Befehlen über eine Netzwerkverbindung vor (wird mit httpd UID ausgeführt).
  • Möglicherweise kann über zusätzlich heruntergeladenen Programmcode über den Wurm mittelbar root-Rechte erlangt werden.
  • Der kompromittierte Host wird in ein Bot-Netzwerk integriert, um vermutlich Distributed Denial of Service (DDos)-Angriffe durchzuführen.
  • Durch die Kommunikation innerhalb des Bot-Netzwerks (UDP-Port 2002) kann erhöhter Netzverkehr zu Störungen der Netzwerkinfrastruktur führen.
  • Auf kompromittierten Systemen wird der Programmcode des Wurms unter /tmp/.bugtraq.c abgelegt.
  • Die kompilierte Version des Wurm wird unter /tmp/.bugtraq gespeichert.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein kursierender Wurm nutzt die bereits in der RUS-CERT-Meldung #904 beschriebene Schwachstelle in OpenSSL zur Verbreitung aus. Betroffen sind insbesondere Webserver, die HTTP (TCP-Port 80) und HTTPS (TCP-Port 443) anbieten und eine verwundbare SSL-Implementierung (mod_ssl mit OpenSSL) verwenden.

Laut F-Secure stagniert das vom Wurm geschaffene Bot-Netzwerk bei etwa 14.000 Hosts. Limitierende Faktoren dürften teilweise die inzwischen eingeleiteten Gegenmaßnahmen sein, aber auch die hohen Anforderungen auf den Opfer-Systemen (GCC, uudecode und OpenSSL-Entwicklungsumgebung) und vor allem der Netzverkehr, der durch das Bot-Netzwerk entsteht und die Verbreitungsaktivität beeinträchtigt.

Angriffssignaturen/Spuren
In den mod_ssl-Logfiles (logs/ssl_engine_log) hinterläßt der Wurm bei einem gepachten Server folgende Spuren:

[13/Sep/2002 21:22:03 17376] [error] SSL handshake failed (server
CERT.Uni-Stuttgart.DE:443, client 129.69.16.9) (OpenSSL library error
follows)
[13/Sep/2002 21:22:03 17376] [error] OpenSSL: error:1406B458:SSL 
routines:GET_CLIENT_MASTER_KEY:key arg too long
Bei verwundbaren Systemen hinterläßt der Wurm angeblich keine Logfileeintragungen.

Workaround

  • Um dem Wurm die Angriffsmöglichkeit zu nehmen, reicht es, SSLv2-Unterstützung abzuschalten.

Gegenmaßnahmen
Update auf OpenSSL (0.9.6g) oder ein äquivalentes Vendor-Update

Hinweis: Die Version 0.9.6e und äquivalente Vendor-Patches weisen die Schwachstelle ebenfalls nicht auf, sind jedoch durch ihr Verhalten über das Netz von einer verwundbaren Version nicht zu unterscheiden. Da eine unabhängige Prüfung über den Erfolg des Updates bei den 0.9.6e-Patches nicht möglich ist, sollten diese nur im Notfall eingesetzt werden (z.B. wenn 0.9.6g nicht verfügbar ist).

Für Debian GNU/Linux (woody bzw. stable) wird OpenSSL 0.9.6g derzeit in "woody-proposed-updates" angeboten.

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-09-14)
  • V.1.1 (2002-09-17) CERT/CC Advisory, Informationen zur Verbreitung aktualisiert

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.