Ein Wurm namens Lion nutzt BIND 8 Schwachstellen zur Verbreitung aus.

Betroffene Systeme
Alle BIND-8-Versionen vor 8.2.3 und 8.2.3-betas.

Typ der Verwundbarkeit
buffer overflow (exploitable remotely)

Beschreibung
Hat der Wurm "Lion" ein System befallen so beginnt er einen Scan (TCP Port 53) eines zufälligen Class B Netzes nach Systemen mit einem BIND 8 DNS-Server. Bringt dieser Scan weitere verwundbare Systeme zu Tage so wird die bereits im Januar 2001 beschriebene BIND 8 Schwachstelle ausgenutzt und der Wurm überträgt sich auf diese Systeme weiter.

Der Wurm liest die Passwortdateien (/etc/passwd und /etc/shadow) aus und übermittelt deren Inhalt an eine china.com Adresse. Es wird die /etc/hosts.deny gelöscht (um beispielsweise den TCP Wrapper zu schwächen) und auf den TCP Ports 60008 sowie 33567 eine Rootshell (über /etc/inetd.conf) als Hintertür eingerichtet. Eine trojanisierte SSH Version wird auf TCP Port 33568 installiert und der Syslogd beendet.
Ferner installiert dieser Wurm den "T0rn" Rootkit, welcher zahlreiche Binaries ersetzt (um unentdeckt zu bleiben), darunter:
du
find
ifconfig
in.telnetd
in.fingerd
login
ls
mjy
netstat
ps
pstree
top


Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Wie bereits Ende Januar 2001 empfohlen, sollten BIND Versionen vor 8.2.3 aktualisiert werden.

Zur Überprüfung ob ein Befall durch den "Lion" Wurm vorliegt, stellt das SANS Institute ein Tool namens Lionfind zur Verfügung. Dieses Tool ist lediglich in der Lage einen Befall festzustellen, nicht jedoch den Wurm zu beseitigen.
Sollte ein System durch den Wurm befallen sein, hilft wohl nur das Einspielen eines Backups (bzw. die Neuinstallation).

Weitere Information zu diesem Thema

• Analysis of the T0rn Rootkit
• CERT/CC Advisory: Multiple Vulnerabilities in BIND

Weitere Artikel zu diesem Thema:

• [Sun/BIND] Im April ausgelieferte Updates machen Solaris 8 verwundbar (2001-06-27)
  Noch nach dem Bekanntwerden der TSIG-Schwachstelle in BIND lieferte Sun im April ein Update für Solaris mit einer verwundbaren Version aus.
• [GNU/Linux] Wurm "Adore" nutzt bekannte Schwachstellen aus (2001-04-04)
  Ein neuer Wurm namens Adore nutzt altbekannte Schwachstellen in LPRng, rpc-statd, wu-ftpd und BIND zur Verbreitung.
• [Generic/BIND] Remote buffer overflow in BIND (2001-01-29)
  Der DNS-Server BIND 8 weist eine Schwachstelle auf, die es einem Angreifer ermöglicht, den Server, auf dem BIND läuft, zu kompromittieren. Daneben sind auch Probleme mit BIND 4 bekanntgeworden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/