home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Forum of Incident Response & Security Teams
/
Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso
/
teaminfo
/
cert_it
/
advisory
/
s_94_01.txt
next >
Wrap
Text File
|
1994-07-08
|
7KB
|
179 lines
==============================================================================
SECURITY ADVISORY CERT-IT
==============================================================================
Author/Source : CERT-IT <cert-it@dsi.unimi.it> Index : S-94-01
Distribution : World Size : 6504
Classification: External Version: Final
Subject : Intrusioni Informatiche Date : 27-02-94
==============================================================================
========
Abstract
========
Nelle ultime settimane si sono verificate alcune violazioni
informatiche che hanno interessato un certo numero di calcolatori
italiani. Le macchine appartengono a centri Universitari ed i
sistemi operativi di tali host sono SunOS, Ultrix e HP-UX.
Il bug usato per violare la sicurezza delle macchine e`,
probabilmente, quello del programma "xterm" (e, eventualmente,
"hpterm" per le macchine HP-UX).
===========
Descrizione
===========
Mediante i dati in nostro possesso siamo riusciti a
ricostruire sommariamente la metodologia d'attacco usata.
Elenchiamo quindi i punti che crediamo essere piu` significativi.
1 - Gli hacker hanno ottenuto i privilegi di root su
una delle macchine interessate. Cio` puo` essere
accaduto in vari modi. Fondamentalmente crediamo che
sia stato usato il bug di "xterm" o "hpterm".
2 - Una volta acquisiti i privilegi di root, gli hacker
hanno sostituito il programma "telnet" con un altro
programma in apparenza uguale ma con funzionalita`
nuove: il programma registrava parte delle varie
sessioni per poter catturare le login/password
utilizzate. Tali file di log venivano registrati
in /usr/tmp con nomi simili a "Exaat48372".
3 - Tali file erano cifrati. L'algoritmo di cifra usato
e` una semplice sostituzione alfabetica effettuando
uno "XOR" per ognuno dei byte. Per decifrare tali file
di log si puo` usare il seguente programmino:
#include <stdio.h>
main()
{
register c;
while ((c = getchar()) != EOF)
putchar((char) (c ^ 165));
}
In alcune macchine esaminate e` stato trovato un
programma di nome "d" che aveva esattamente lo
stesso scopo.
4 - Gli hacker installavano altri programmi per confondere
le loro tracce. Il programma "delw" aveva come
scopo quello di cancellare alcune entry di log
relative ai file "utmp" e "wtmp". Il programma
"Xterm" era un telnet camuffato. Sono state
anche trovate delle shell SUIDed a root e
degli special file relativi ai dischi di sistema
con permission = 666 nella directory /dev e in altre
parti del file system.
5 - Per poter meglio disperdere le proprie tracce,
gli hacker talvolta non si sono collegati
direttamente da una macchina Unix ma sono
"rimbalzati" su di un Xterminal (probabilmente solo
Sun o HP). Essendo l'Xterminal un dispositivo
privo di efficaci meccanismi di controllo
di accesso e di logging cio` permetteva loro
di effettivamente nascondere la loro provenienza.
6 - Gli hacker, sfruttando i telnet fasulli, sono
riusciti ad ottenere molti account su sistemi
assai diversificati. Non e` calcolabile con
esattezza il numero delle macchine su cui
essi hanno ottenuto l'accesso.
======
Rimedi
======
Per prima cosa e` necessario "chiudere" il bug usato in
per diventare root sul sistema. Molti sistemi
operativi hanno il programma xterm SUIDed a root
(con il bit-s, es: rwsr-xr-x). Il bit-s puo` essere
sfruttato per diventare root. E` necessario applicare un
patch che puo` essere quello ufficiale, cioe` quello che
i vari vendor distribuiscono, oppure un patch non ufficiale
che rispetto agli altri ha il vantaggio di essere disponibile
in forma sorgente utilizzando la distribuzione X11R5.
Un report circa i patch ufficiali distribuiti dai vari
vendor e` disponibile, via anonymous ftp presso il site
ftp.dsi.unimi.it, in:
/pub/security/docs/CERT-advisories/xterm-patch-status.gz
Un patch non ufficiale che include anche una feature
aggiuntiva per rendere piu` difficoltoso il "grabbing"
dei caratteri attraverso il protocollo X e` disponibile
in:
/pub/security/patches/misc/xterm.secure.X11R5.tar.gz
Come soluzione immediata per arginare il problema consigliamo
di fare:
# chmod 555 /usr/bin/X11/xterm
in maniera tale che il bit-s di xterm non possa piu` essere
sfruttato in nessun modo. Questa soluzione ha pero` lo
svantaggio di non permettere ne` l'aggiornamento del
file /etc/utmp (per il comando "who") ne` il chown dello
pseudo terminal corrispondente (rendendo impossibile,
ad esempio, il comando "mesg").
Le password di tutti gli utenti che hanno effettuato
collegamenti dall'esterno dovrebbero essere cambiate.
E` inoltre necessario eliminare i file "Xterm", "d" e
"delw". Bisogna controllare che non siano presenti
special file relativi a dischi di sistema con permessi
di scrittura a tutti (es: crw-rw-rw-).
E` necessario controllare l'integrita` del comando telnet
di sistema ed eventualmente reinstallarlo prendendo
l'esegubile dai media originali di installazione.
===========
Prevenzione
===========
Per rafforzare la sicurezza della propria macchina e
rendere piu` remota l'eventualita` di simili incidenti
informatici e` consigliabile l'utilizzo di alcuni package
software di pubblico dominio disponibili, tramite
anonymous ftp o gopher, presso il site ftp.dsi.unimi.it.
1 - TCP wrapper. Disponibile in:
/pub/security/src/network/tcpd6.0.tar.Z
2 - Xinetd. Disponibile in:
/pub/security/src/network/xinetd-2.1.1.tar.gz
3 - Venema's portmap. Disponibile in:
/pub/security/src/network/portmap_2.shar.Z
4 - Tripwire. Disponibile in:
/pub/security/src/system/tripwire-1.1.tar.Z
5 - Patch al programma sendmail. E` disponibile un report
circa lo status dei patch ufficiali distribuiti dai
vendor in:
/pub/security/docs/CERT-advisories/
CA-93:16a.sendmail.vulnerability.supplement.gz
Per una versione non ufficiale per cui, pero`, siano
disponibili anche i sorgenti e` disponibile:
/pub/security/patches/misc/smrsh.tar.gz
6 - Skey. Disponibile in:
/pub/security/src/auth/skey-1.1b.tar.Z
==============================================================================