Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de 		logo
Meldung Nr: RUS-CERT-343

[Sun/Solaris][MS/IIS] sadmin/IIS-Wurm greift IIS-Systeme von Solaris aus an
(2001-05-08 20:13:37+00)

Quelle: http://www.cert.org/advisories/CA-2001-11.html

Der sadmin/IIS-Wurm verbreitet sich über eine alte Sicherheitslücke im Systemadministrationswerkzeug sadmind unter Solaris 7 und früher. Nachdem er ein System infiziert hat, beginnt er nach Microsoft Internet Information Servers (IIS) sowie weiteren verwundbaren Solaris Systemen zu scannen, um sie ebenfalls anzugreifen.

Betroffene Systeme

Typ der Verwundbarkeit
Internet Worm

Beschreibung

  1. Schon am 1999-12-29 wurde im Sun Microsystems, Inc. Security Bulletin #00191 ein buffer overflow bug im Systemadministrationswerkzeug sadmind beschrieben, dessen Ausnutzung dazu führen kann, daß Angreifer ohne interaktiven Zugang unautorisiert root-Rechte auf verwundbaren Systemen erlangen können.
  2. Am 2000-10-10 veröffentlichte das CERT Coordination Center (CERT/CC) die Vulnerability Note VU#111677, in der die sogenannte Web Server Folder Directory Traversal Schwachstelle der Microsoft Internet Information Services der Versionen 4 und 5 beschrieben ist. Diese Verwundbarkeit erlaubt es Benutzern ohne interaktiven Zugang beliebige Kommandos mit den Privilegien des Benutzerkontos IUSR_Rechnername auszuführen.
Der beschriebene Wurm sadmin/IIS-Wurm nutzt zunächst die in 1. beschriebene Sicherheitslücke im distributed system administration daemon sadmind unter Solaris 7 und früher aus, und kompromittiert verwundbare Systeme.
Nach erfolgreicher Kompromittierung öffnet er eine rootshell auf TCP-Port 600 und installiert eine Kopie des Wurms. Speziell die Öffnung der rootshell macht das angegriffene System für beliebige Angreifer trivial mißbrauchbar. Daneben fügt der Wurm den String "+ +" der Datei .rhosts im Homedirectory des Benutzers root hinzu und installiert und startet Software, die nach weiteren verwundbaren Solaris Systemen sowie nach IIS Syetemen mit der in 2. beschriebenen Sicherheitslücke, im Netz sucht und sie ggf. kompromittiert. Eine Kompromittierung von IIS Systemen wirkt sich in veränderten Webseiten aus.

Spuren/Anzeichen einer Kompromittierung

  1. Solaris:
    • Sylogeinträge, die darauf hindeuten, daß der Prozeß sadmind fehlerhaft beendet wurde. Beispielsweise (entnommen aus o.a. CERT/CC Advisory): 
      May  7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
May  7 02:40:01 carrier.domain.com last message repeated 1 time
May  7 02:40:03 carrier.domain.com last message repeated 1 time
May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May  7 02:40:03 carrier.domain.com last message repeated 1 time
May  7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May  7 02:40:08 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Hangup
May  7 02:40:08 carrier.domain.com last message repeated 1 time
May  7 02:44:14 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Killed
    • Eine rootshell auf TCP-Port 600
    • Vorhandensein der Verzeichnisse
      • /dev/cub/ (enthält die Logs kompromittierter Rechner)
      • /dev/cuc/ (enthält die Schad- und Verbreitungsroutinen)
    • laufende Prozesse, die auf Aktivität des Wurmes hindeuten:
      • /bin/sh /dev/cuc/sadmin.sh
      • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
      • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
      • /bin/sh /dev/cuc/uniattack.sh
      • /bin/sh /dev/cuc/time.sh
      • /usr/sbin/inetd -s /tmp/.f
      • /bin/sleep 300
  2. Microsoft IIS:
    • Modifizierte Webseite(n) mit folgendem Inhalt: 
       fuck USA Government
  fuck PoizonBOx
 contact:sysadmcn@yahoo.com.cn
    • Logfileeinträge der folgenden Form (entnommen aus o.a. CERT/CC Advisory): 
      2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
    GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
    GET /scripts/root.exe /c+echo+