RUS-CERT-961 – Archivierte Meldung

Meldung Nr: RUS-CERT-961

[Generic/OpenSSL] Wurm nutzt Schwachstellen in OpenSSL aus
(2002-09-14 14:41:59.190426+00)

Quelle: http://lists.cert.uni-stuttgart.de/pipermail/incidents/2002-September/000005.html

Es kursiert ein Wurm, der eine Schwachstelle in mod_ssl/OpenSSL zur Verbreitung ausnutzt.

Betroffene Systeme

OpenSSL-Versionen des 0.9.6-Astes bis einschließlich Version 0.9.6d
OpenSSL-Versionen des 0.9.7-Astes bis einschließlich Version 0.9.7-beta2
frühere Versionen von OpenSSL (z.B. 0.9.5)

Nicht betroffene Systeme

Systeme, die OpenSSL 0.9.6d zur Implementierung eines SSL-Servers verwenden, aber nicht die Unterstützung für SSL-Version 2 aktivieren.

Einfallstor
Der kursierende Wurm greift Systeme an, die sowohl HTTP (TCP-Port 80) als auch HTTPS (TCP-Port 443) anbieten.

Auswirkung

Der Wurm öffnet auf erfolgreich angegriffenen Systemen eine Hintertür auf UDP-Port 2002.
Offenbar sieht der Wurm bzw. die Hintertür das Ausführen von Befehlen über eine Netzwerkverbindung vor (wird mit httpd UID ausgeführt).
Möglicherweise kann über zusätzlich heruntergeladenen Programmcode über den Wurm mittelbar root-Rechte erlangt werden.
Der kompromittierte Host wird in ein Bot-Netzwerk integriert, um vermutlich Distributed Denial of Service (DDos)-Angriffe durchzuführen.
Durch die Kommunikation innerhalb des Bot-Netzwerks (UDP-Port 2002) kann erhöhter Netzverkehr zu Störungen der Netzwerkinfrastruktur führen.
Auf kompromittierten Systemen wird der Programmcode des Wurms unter /tmp/.bugtraq.c abgelegt.
Die kompilierte Version des Wurm wird unter /tmp/.bugtraq gespeichert.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein kursierender Wurm nutzt die bereits in der RUS-CERT-Meldung #904 beschriebene Schwachstelle in OpenSSL zur Verbreitung aus. Betroffen sind insbesondere Webserver, die HTTP (TCP-Port 80) und HTTPS (TCP-Port 443) anbieten und eine verwundbare SSL-Implementierung (mod_ssl mit OpenSSL) verwenden.

Laut F-Secure stagniert das vom Wurm geschaffene Bot-Netzwerk bei etwa 14.000 Hosts. Limitierende Faktoren dürften teilweise die inzwischen eingeleiteten Gegenmaßnahmen sein, aber auch die hohen Anforderungen auf den Opfer-Systemen (GCC, uudecode und OpenSSL-Entwicklungsumgebung) und vor allem der Netzverkehr, der durch das Bot-Netzwerk entsteht und die Verbreitungsaktivität beeinträchtigt.

Angriffssignaturen/Spuren
In den mod_ssl-Logfiles (logs/ssl_engine_log) hinterläßt der Wurm bei einem gepachten Server folgende Spuren:

[13/Sep/2002 21:22:03 17376] [error] SSL handshake failed (server
CERT.Uni-Stuttgart.DE:443, client 129.69.16.9) (OpenSSL library error
follows)
[13/Sep/2002 21:22:03 17376] [error] OpenSSL: error:1406B458:SSL 
routines:GET_CLIENT_MASTER_KEY:key arg too long

Bei verwundbaren Systemen hinterläßt der Wurm angeblich keine Logfileeintragungen.

Workaround

Um dem Wurm die Angriffsmöglichkeit zu nehmen, reicht es, SSLv2-Unterstützung abzuschalten.

Gegenmaßnahmen
Update auf OpenSSL (0.9.6g) oder ein äquivalentes Vendor-Update

http://www.openssl.org/

Hinweis: Die Version 0.9.6e und äquivalente Vendor-Patches weisen die Schwachstelle ebenfalls nicht auf, sind jedoch durch ihr Verhalten über das Netz von einer verwundbaren Version nicht zu unterscheiden. Da eine unabhängige Prüfung über den Erfolg des Updates bei den 0.9.6e-Patches nicht möglich ist, sollten diese nur im Notfall eingesetzt werden (z.B. wenn 0.9.6g nicht verfügbar ist).

Für Debian GNU/Linux (woody bzw. stable) wird OpenSSL 0.9.6g derzeit in "woody-proposed-updates" angeboten.

Weitere Information zu diesem Thema

OpenSSL worm in the wild (BUGTRAQ)
Apache_mod_ssl Worm Alert (Symantec)
Global Slapper Worm Information Center (F-Secure)
CERT/CC Advisory CA-2002-27

Revisionen dieser Meldung

V.1.0 (2002-09-14)
V.1.1 (2002-09-17) CERT/CC Advisory, Informationen zur Verbreitung aktualisiert

(tf)

Weitere Artikel zu diesem Thema:

[MS/OpenSSL] Schwachstelle in OpenSSL 0.9.6k unter Microsoft Windows (2003-11-05)
In der erst kürzlich zur Behebung von diversen Problemen veröffentlichten Version OpenSSL 0.9.6k ist eine weitere Schwachstelle entdeckt worden, die dazu ausgenutzt werden kann, den OpenSSL-Dienst unter Microsoft Windows in einen unbenutzbaren Zustand zu bringen.
[Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2003-10-03)
Eine Schwachstelle in den OpenSSL-Bibliotheken ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes mit den Privilegien des benutzenden Prozesses, zwei weitere Schwachstellen können dazu führen, daß das SSL-System in einen unbenutzbaren Zustand gerät.
[Generic/OpenSSL] Werkzeug zum Testen verwundbarer Systeme (2002-09-17)
Das RUS-CERT hat ein Werkzeug entwickelt, mit dem sich Systeme ermitteln lassen, die verwundbare OpenSSL-Bibliotheken einsetzen.
[Generic/OpenSSL] Korrektur für SSL-Schwachstellen fehlerhaft (2002-08-09)
Auch mit den Korrekturen für die SSL-Schwachstellen erlaubt OpenSSL 0.9.6e immer noch Denial of Service-Angriffe.
[Generic/OpenSSL] Fehler im Server- und Client-Code für SSL 2 und 3 (2002-07-30)
In OpenSSL sind mehrere Schwachstellen im Programmcode zur Verarbeitung von SSL-Verbindungen (sowohl auf Client- als auch auf Server-Seite) entdeckt worden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=961