[GNU/Linux] Wurm "Adore" nutzt bekannte Schwachstellen aus
(2001-04-04 17:50:36+00)
Quelle:
http://www.sans.org/y2k/adore.htmEin neuer Wurm namens Adore nutzt altbekannte Schwachstellen in LPRng, rpc-statd, wu-ftpd und BIND zur Verbreitung.
Betroffene Systeme
Linux auf x86-Systemen mit installierten und aktivierten verwundbaren Diensten:
LPRngVersionen kleiner 3.6.25rpc-statd(nfs-common Versionen kleiner 0.1.9.1-1)wu-ftpdincl. Version 2.6.0BINDVersionen vor 8.2.3 und 8.2.3-betas
Beschreibung
Ein neuer Wurm namens Adore verbreitet sich ähnlich dem bereits bekannten Wurm Lion, in dem er unter Ausnutzung bekannter Schwachstellen Rechnersysteme kompromittiert. Hat der Wurm ein System befallen, beginnt er einen Scan nach weiteren Systemen mit LPRng-, rpc-statd-, wu-ftpd- oder BIND-Schwachstellen. Fördert dieser Scan weitere verwundbare Systeme zu Tage, so werden die oben genannten, seit geraumer Zeit wohlbekannten Schwachstellen zur Kompromittierung ausgenutzt und der Wurm überträgt sich so auf diese Systeme weiter.
Der Wurm selbst ersetzt offenbar nur das Systemprogramm ps, das zur Auflistung auf dem System laufender Prozesse dient, wobei die ursprüngliche Version von ps nach /usr/bin/adore verschoben wird. Danach liest der Wurm die folgenden Dateien aus:
- /etc/ftpusers
- ifconfig
- ps -aux (die ursprüngliche Version von /usr/bin/adore)
- /root/.bash_history
- /etc/hosts
- /etc/shadow
- adore9000@21cn.com
- adore9000@sina.com
- adore9001@21cn.com
- adore9001@sina.com
Ferner installiert der Wurm eine Hintertür in das System, indem ein Package namens icmp gestartet wird. Dieses legt einen Port und die erforderliche Paketgröße für die Verbindung fest und öffnet gegebenenfalls eine Rootshell, die offenbar interaktive Verbindungen zuläßt. Zusätzlich wird ein cronjob hinzugefügt, der täglich um 04:02 Uhr Spuren den Wurms beseitigt (nicht jedoch den Wurm selbst) und das System rebootet.
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufungdes Gefahrenpotentials.)
Gegenmaßnahmen
Installieren Sie die Patches, die zu den einzelnen von Adore ausgenutzten Schwachstellen zur Verfügung stehen.
Weitere Information zur LPRng Schwachstelle
- RHSA-2000-065-06 LPRng exploit
- CERT/CC VU#382365 LPRng can pass user-supplied input as a format string parameter to syslog() call
Weitere Information zur rpc.statd Schwachstelle
- SuSE Security Announcement: rpc.kstatd (knfsd)
- RHSA-2000-039-02 rpc.statd root compromise
- Debian rpc.statd: remote root exploit
- CERT/CC VU#34043 rpc.statd vulnerable to remote root compromise via format string stack overwrite
Weitere Information zur wu-ftpd Schwachstelle
- [SuSE] Schwachstelle in wuftpd
- RHSA-2000-039-02 wuftpd remote exploit
- CERT/CC VU#29823 Format string input validation error in wu-ftpd site_exec() function
- Securityfocus Wu-Ftpd Remote Format String Stack Overwrite Vulnerability
Weitere Information zur BIND Schwachstelle
- CERT/CC Advisory CA-2001-02 Multiple Vulnerabilities in BIND
Weitere Information zu Adore
Installation und Betrieb dieses Tools erfolgt auf eigene Gefahr.
Das RUS-CERT hat diese Software nicht untersucht und kann daher keine Aussage über dessen Qualität sowie eventuell aus dessen Installation und/oder Benutzung entstehender Gefährdungen machen. (tf)
Weitere Artikel zu diesem Thema:
- [Sun/BIND] Im April ausgelieferte Updates machen Solaris 8 verwundbar (2001-06-27)
Noch nach dem Bekanntwerden der TSIG-Schwachstelle in BIND lieferte Sun im April ein Update für Solaris mit einer verwundbaren Version aus. - [Generic/BIND] Wurm nutzt alte Schwachstellen in BIND (2001-03-24)
Ein Wurm namens Lion nutzt BIND 8 Schwachstellen zur Verbreitung aus. - [Generic/BIND] Remote buffer overflow in BIND (2001-01-29)
Der DNS-Server BIND 8 weist eine Schwachstelle auf, die es einem Angreifer ermöglicht, den Server, auf dem BIND läuft, zu kompromittieren. Daneben sind auch Probleme mit BIND 4 bekanntgeworden. - [Linux/Red Hat] ein Wurm nutzt alte Schwachstellen in RedHat 6/7 (2001-01-18)
Bereits seit einigen Tagen kursiert ein Linux-Wurm, der alte Schwachstellen in RedHat 6/7 ausnutzt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=314