Meldung Nr: RUS-CERT-314

[GNU/Linux] Wurm "Adore" nutzt bekannte Schwachstellen aus
(2001-04-04 19:50:36+02) Druckversion

Quelle: http://www.sans.org/y2k/adore.htm

Ein neuer Wurm namens Adore nutzt altbekannte Schwachstellen in LPRng, rpc-statd, wu-ftpd und BIND zur Verbreitung.

Betroffene Systeme
Linux auf x86-Systemen mit installierten und aktivierten verwundbaren Diensten:

• LPRng Versionen kleiner 3.6.25
• rpc-statd (nfs-common Versionen kleiner 0.1.9.1-1)
• wu-ftpd incl. Version 2.6.0
• BIND Versionen vor 8.2.3 und 8.2.3-betas

Beschreibung
Ein neuer Wurm namens Adore verbreitet sich ähnlich dem bereits bekannten Wurm Lion, in dem er unter Ausnutzung bekannter Schwachstellen Rechnersysteme kompromittiert. Hat der Wurm ein System befallen, beginnt er einen Scan nach weiteren Systemen mit LPRng-, rpc-statd-, wu-ftpd- oder BIND-Schwachstellen. Fördert dieser Scan weitere verwundbare Systeme zu Tage, so werden die oben genannten, seit geraumer Zeit wohlbekannten Schwachstellen zur Kompromittierung ausgenutzt und der Wurm überträgt sich so auf diese Systeme weiter.

Der Wurm selbst ersetzt offenbar nur das Systemprogramm ps, das zur Auflistung auf dem System laufender Prozesse dient, wobei die ursprüngliche Version von ps nach /usr/bin/adore verschoben wird. Danach liest der Wurm die folgenden Dateien aus:

• /etc/ftpusers
• ifconfig
• ps -aux (die ursprüngliche Version von /usr/bin/adore)
• /root/.bash_history
• /etc/hosts
• /etc/shadow

Die Inhalte dieser Dateien werden an folgende E-Mail-Adressen versandt:

• adore9000@21cn.com
• adore9000@sina.com
• adore9001@21cn.com
• adore9001@sina.com

Ferner installiert der Wurm eine Hintertür in das System, indem ein Package namens icmp gestartet wird. Dieses legt einen Port und die erforderliche Paketgröße für die Verbindung fest und öffnet gegebenenfalls eine Rootshell, die offenbar interaktive Verbindungen zuläßt. Zusätzlich wird ein cronjob hinzugefügt, der täglich um 04:02 Uhr Spuren den Wurms beseitigt (nicht jedoch den Wurm selbst) und das System rebootet.

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufungdes Gefahrenpotentials.)

Gegenmaßnahmen
Installieren Sie die Patches, die zu den einzelnen von Adore ausgenutzten Schwachstellen zur Verfügung stehen.

Weitere Information zur LPRng Schwachstelle

• RHSA-2000-065-06 LPRng exploit
• CERT/CC VU#382365 LPRng can pass user-supplied input as a format string parameter to syslog() call

Weitere Information zur rpc.statd Schwachstelle

• SuSE Security Announcement: rpc.kstatd (knfsd)
• RHSA-2000-039-02 rpc.statd root compromise
• Debian rpc.statd: remote root exploit
• CERT/CC VU#34043 rpc.statd vulnerable to remote root compromise via format string stack overwrite

Weitere Information zur wu-ftpd Schwachstelle

• [SuSE] Schwachstelle in wuftpd
• RHSA-2000-039-02 wuftpd remote exploit
• CERT/CC VU#29823 Format string input validation error in wu-ftpd site_exec() function
• Securityfocus Wu-Ftpd Remote Format String Stack Overwrite Vulnerability

Weitere Information zur BIND Schwachstelle

• CERT/CC Advisory CA-2001-02 Multiple Vulnerabilities in BIND

Weitere Information zu Adore

• SANS GIAC: Adore Worm

In vorgenanntem Advisory stellt das SANS Institute ein Tool namens Adorefind zur Verfügung, das laut SANS dazu verwendet werden kann, zu überprüfen, ob ein Befall durch den Adore Wurm vorliegt
Installation und Betrieb dieses Tools erfolgt auf eigene Gefahr.
Das RUS-CERT hat diese Software nicht untersucht und kann daher keine Aussage über dessen Qualität sowie eventuell aus dessen Installation und/oder Benutzung entstehender Gefährdungen machen.

(tf)

---

Weitere Artikel zu diesem Thema:

• [Sun/BIND] Im April ausgelieferte Updates machen Solaris 8 verwundbar (2001-06-27)
  Noch nach dem Bekanntwerden der TSIG-Schwachstelle in BIND lieferte Sun im April ein Update für Solaris mit einer verwundbaren Version aus.
• [Generic/BIND] Wurm nutzt alte Schwachstellen in BIND (2001-03-24)
  Ein Wurm namens Lion nutzt BIND 8 Schwachstellen zur Verbreitung aus.
• [Generic/BIND] Remote buffer overflow in BIND (2001-01-29)
  Der DNS-Server BIND 8 weist eine Schwachstelle auf, die es einem Angreifer ermöglicht, den Server, auf dem BIND läuft, zu kompromittieren. Daneben sind auch Probleme mit BIND 4 bekanntgeworden.
• [Linux/Red Hat] ein Wurm nutzt alte Schwachstellen in RedHat 6/7 (2001-01-18)
  Bereits seit einigen Tagen kursiert ein Linux-Wurm, der alte Schwachstellen in RedHat 6/7 ausnutzt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung

Weitere Meldungen...

Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.