home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9104 < prev    next >
Text File  |  1991-07-10  |  6KB  |  134 lines
  1. ***********************************************************************
  2. DDN Security Bulletin 9104       DCA DDN Defense Communications System
  3. 5 APR 91                Published by: DDN Security Coordination Center
  4.                                      (SCC@NIC.DDN.MIL)  (800) 235-3155
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9. The DDN  SECURITY BULLETIN  is distributed  by the  DDN SCC  (Security
  10. Coordination Center) under  DCA contract as  a means of  communicating
  11. information on network and host security exposures, fixes, &  concerns
  12. to security & management personnel at DDN facilities.  Back issues may
  13. be  obtained  via  FTP  (or  Kermit)  from  NIC.DDN.MIL  [192.67.67.20]
  14. using login="anonymous" and password="guest".  The bulletin pathname is
  15. SCC:DDN-SECURITY-yynn (where "yy" is the year the bulletin is issued
  16. and "nn" is a bulletin number, e.g. SCC:DDN-SECURITY-9001).
  17. **********************************************************************
  18.  
  19.                    Unauthorized Password Change Requests
  20.                             Via Mail Messages
  21.  
  22.  
  23. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  24. !                                                                       !
  25. !     The following important  advisory was  issued by the Computer     !
  26. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  27. !     via the Defense Communications Agency's Security Coordination     !
  28. !     Center  distribution  system  as a  means  of  providing  DDN     !
  29. !     subscribers with useful security information.                     !
  30. !                                                                       !
  31. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  32.  
  33. CA-91:03                       CERT Advisory
  34.                                April 4, 1991
  35.                     Unauthorized Password Change Requests
  36.                              Via Mail Messages
  37.  
  38. ---------------------------------------------------------------------------
  39.  
  40. DESCRIPTION:
  41.  
  42. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  43. received a number of incident reports concerning the receipt of mail
  44. instructing the user to immediately change his/her password.  The user
  45. is further instructed to change the password to one that is specified in
  46. the mail message. 
  47.  
  48. These mail messages can be made to look as if they have been sent from
  49. a site administrator or root.  In reality, they may have been sent by 
  50. an individual at a remote site, who is trying to gain access to the 
  51. local machine via the user's account.
  52.  
  53. Several variations of these mail messages are circulating via the Internet 
  54. community.  We are including one such example at the end of this
  55. advisory.
  56.  
  57.  
  58. IMPACT:
  59.  
  60. An intruder can gain access to a system through the unauthorized
  61. use of the (possibly privileged) accounts whose passwords have been 
  62. changed.
  63.  
  64.  
  65. SOLUTION:
  66.  
  67. The CERT/CC recommends the following actions:
  68.  
  69.     1)  Any user receiving such a message should verify its authenticity
  70.         with his/her system administrator before acting on the instructions
  71.         within the mail message.  If a user has changed his/her password
  72.         per the instructions, he/she should immediately change it again 
  73.         to a secure password and alert his/her system administrator.
  74.  
  75.     2)  System administrators should check with their user communities
  76.         to ensure that no user has changed his/her password in response to
  77.         one of these mail messages.  If this has occurred, immediately
  78.         have the password changed again.  Further, the system should be
  79.         carefully examined for damage, or changes that may have been
  80.         caused by the intruder.  We also ask that you please contact the
  81.     CERT/CC.
  82.  
  83.     3)  The CERT/CC recommends that system administrators NEVER mail
  84.         such a request to a user.  That is, NEVER send a request for
  85.         a password change to a user and also specify the new password
  86.         that should be used. 
  87.  
  88.  
  89. ---------------------------------------------------------------------------
  90. SAMPLE MAIL MESSAGE as received by the CERT (including spelling errors, etc.)
  91.  
  92.     :
  93.  
  94.   {mail header which may or may not be local} 
  95.  
  96.     :
  97.  
  98. This is the system administration:
  99.  
  100.      Because of security faults, we request that you change your password
  101.      to "systest001". This change is MANDATORY and should be done IMMEDIATLY.
  102.      You can make this change by typing "passwd" at the shell prompt. Then,
  103.      follow the directions from there on.
  104.  
  105.      Again, this change should be done IMMEDIATLY. We will inform you when
  106.      to change your password back to normal, which should not be longer than
  107.      ten minutes.
  108.  
  109.                 Thank you for your cooperation,
  110.  
  111.                  The system administration (root)
  112.  
  113.  
  114. END OF SAMPLE MAIL MESSAGE
  115. ---------------------------------------------------------------------------
  116.  
  117.  
  118. If you believe that your system has been compromised, contact CERT/CC via
  119. telephone or e-mail.
  120.  
  121. Computer Emergency Response Team/Coordination Center (CERT/CC)
  122. Software Engineering Institute
  123. Carnegie Mellon University
  124. Pittsburgh, PA 15213-3890
  125.  
  126. Internet E-mail: cert@cert.sei.cmu.edu
  127. Telephone: 412-268-7090 24-hour hotline:
  128.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EST,
  129.            on call for emergencies during other hours.
  130.  
  131. Past advisories and other computer security related information are available
  132. for anonymous ftp from the cert.sei.cmu.edu (128.237.253.5) system.
  133.  
  134.