home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0093.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.1 KB  |  386 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-95:06
  6. Original issue date:  April 3, 1995
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory. Updated tech tip references.
  10.  
  11.               A complete revision history is at the end of this file.
  12.  
  13. Topic: Security Administrator Tool for Analyzing Networks (SATAN)
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center staff examined beta version 0.51 of the Security
  17. Administrator Tool for Analyzing Networks (SATAN). This advisory initially
  18. contained information based on our review of this pre-release version. When
  19. the official release became available, we updated the advisory based on version
  20. 1.1.1.
  21.  
  22. 1. What is SATAN?
  23. - ------------------
  24. SATAN is a testing and reporting tool that collects a variety of information
  25. about networked hosts. The currently available documentation can be found at
  26.          ftp://ftp.win.tue.nl/pub/security/satan_doc.tar.Z
  27.  
  28. SATAN gathers information about specified hosts and networks by examining
  29. network services (for example, finger, NFS, NIS, ftp, and rexd).  It can then
  30. report this data in a summary format or, with a simple rule-based system,
  31. investigate potential security problems. Problems are described briefly and
  32. pointers provided to patches or workarounds. In addition to reporting
  33. vulnerabilities, SATAN gathers general network information (network topology,
  34. network services run, types of hardware and software being used on the
  35. network).  As described in the SATAN documentation, SATAN has an exploratory
  36. mode that allows it to probe hosts that have not been explicitly specified.
  37. Thus, SATAN could probe not only targeted hosts, but also hosts outside your
  38. administrative domain.
  39.  
  40. Section 4 below lists the vulnerabilities currently probed by SATAN.
  41.  
  42. After the release of SATAN 1.0, we published a separate advisory describing a
  43. vulnerability in SATAN. If you do not already have a copy of CA-95:07a, we
  44. strongly urge you to obtain a copy from
  45.  
  46.       ftp://info.cert.org/pub/cert_advisories/CA-95:07a.REVISED.satan.vul
  47.  
  48. As we receive new information about SATAN, we will update advisories
  49. CA-95:06 (SATAN in general) and CA-95:07a (vulnerability in SATAN).
  50. We encourage you to check our advisories regularly for updates to relating to
  51. your site.
  52.  
  53. 2. Potential Impact of SATAN
  54. - ----------------------------
  55. SATAN was designed as a security tool for system and network administrators.
  56. However, given its wide distribution, ease of use, and ability to scan remote
  57. networks, SATAN is also likely to be used to locate vulnerable hosts for
  58. malicious reasons. It is also possible that sites running SATAN for a
  59. legitimate purpose will accidentally scan your system via SATAN's exploratory
  60. mode.
  61.  
  62. Although the vulnerabilities SATAN identifies are not new, the ability to
  63. locate them with a widely available, easy-to-use tool increases the level of
  64. threat to sites that have not taken steps to address those vulnerabilities. In
  65. addition, SATAN is easily extensible. After it is released, modified versions
  66. might scan for other vulnerabilities as well and might include code to
  67. compromise systems. 
  68.  
  69.  
  70. 3. How to Prepare for the Release of SATAN
  71. - ------------------------------------------
  72.  
  73. * Examine your systems for the vulnerabilities described below and implement
  74.   security fixes accordingly.
  75.  
  76. * In addition to reading the advisories cited for specific vulnerabilities
  77.   below, consult the following documents for guidance on improving the
  78.   security of your systems:
  79.  
  80.      ftp://info.cert.org/pub/tech_tips/intruder_detection_checklist
  81.      ftp://info.cert.org/pub/tech_tips/UNIX_configuration_guidelines
  82.      ftp://info.cert.org/pub/tech_tips/anonymous_ftp_config
  83.      ftp://info.cert.org/pub/tech_tips/packet_filtering
  84.  
  85. * Contact your vendor for information on available security patches, and
  86.   ensure that all patches have been installed at your site.
  87.  
  88. * Use the tools listed in Section 5 to assist you in assessing and improving
  89.   the security of your systems.
  90.  
  91.  
  92. 4. Vulnerabilities Probed by SATAN
  93. - ----------------------------------
  94. Listed below are vulnerabilities that beta version 0.51 of SATAN tests for,
  95. along with references to CERT advisories and other documents where applicable.
  96.  
  97. Administrators should verify the state of their systems and perform corrective
  98. actions as necessary. We cannot stress enough the importance of good network
  99. configuration and the need to install all available patches.
  100.  
  101.    1. NFS export to unprivileged programs
  102.    2. NFS export via portmapper
  103.    3. Unrestricted NFS export
  104.  
  105.       See CERT advisory CA-94:15 for security measures you can take to address
  106.       NFS vulnerabilities. 
  107.  
  108.       The following advisories also address problems related to NFS:
  109.              CA-94:02.REVISED.SunOS.rpc.mountd.vulnerability
  110.              CA-93:15.SunOS.and.Solaris.vulnerabilities
  111.              CA-92:15.Multiple.SunOS.vulnerabilities.patches
  112.              CA-91:21.SunOS.NFS.Jumbo.and.fsirand
  113.  
  114.    4. NIS password file access
  115.       See CERT advisory CA-92:13 for information about SunOS 4.x machines using
  116.       NIS, and CA-93:01 for information about HP machines.
  117.  
  118.    5. rexd access
  119.       We recommend filtering the rexd service at your firewall and commenting
  120.       out rexd in the file /etc/inetd.conf. 
  121.       
  122.       See CERT advisory CA-92:05 for more information about IBM AIX machines
  123.       using rexd, and CA-91:06 for information about NeXT.
  124.    
  125.    6. Sendmail vulnerabilities
  126.       See CERT advisory CA-95:05 for the latest information we have published
  127.       about sendmail.  
  128.  
  129.    7. TFTP file access
  130.       See CERT advisory CA-91:18 for security measures that address TFTP access
  131.       problems. In addition, CA-91:19 contains information for IBM AIX users.
  132.  
  133.    8. Remote shell access
  134.       We recommend that you comment out rshd in the file /etc/inetd.conf or
  135.       protect it with a TCP wrapper. A TCP/IP wrapper program is available from
  136.            ftp://info.cert.org/pub/tools/tcp_wrappers/
  137.  
  138.    9. Unrestricted X server access
  139.       We recommend filtering X at your firewall. Additional advice about
  140.       packet filtering is available by anonymous FTP from
  141.              ftp://info.cert.org/pub/tech_tips/packet_filtering
  142.  
  143.    10. Writable FTP home directory
  144.        See CERT advisory CA-93:10. 
  145.        Guidance on anonymous FTP configuration is also available from
  146.              ftp://info.cert.org/pub/tech_tips/anonymous_ftp_config
  147.  
  148.    11. wu-ftpd vulnerability
  149.        See CA-93:06 and CA-94:07 for more information about ftpd.
  150.  
  151.    12. Unrestricted dial-out modem available via TCP.
  152.        Place modems behind a firewall or put password or other extra
  153.        authentication on them (such as S/Key or one-time passwords).
  154.        For information on one-time passwords, see CERT advisory CA-94:01,
  155.        Appendix B.
  156.  
  157. Note: In addition to our FTP archive at info.cert.org, CERT documents are
  158.       available from the following sites, and others which you can locate
  159.       by using archie:
  160.  
  161.           ftp://coast.cs.purdue.edu/pub/mirrors/cert.org/cert_advisories 
  162.           ftp://unix.hensa.ac.uk/pub/uunet/doc/security/cert_advisories
  163.           ftp://ftp.luth.se/pub/misc/cert/cert_advisories
  164.           ftp://ftp.switch.ch/network/security/cert_advisories
  165.           ftp://corton.inria.fr/CERT/cert_advisories
  166.           ftp://ftp.inria.fr/network/cert_advisories
  167.           ftp://nic.nordu.net/networking/security/cert_advisories
  168.  
  169. 5. Currently Available Tools
  170. - -----------------------------
  171. The following tools are freely available now and can help you improve your
  172. site's security before SATAN is released.
  173.  
  174. COPS and ISS can be used to check for vulnerabilities and configuration
  175. weaknesses. 
  176.  
  177.      COPS is available from ftp//info.cert.org:/pub/tools/cops/*
  178.  
  179.      ISS is available from
  180.      ftp://ftp.uu.net/usenet/comp.sources.misc/volume39/iss  
  181.      CERT advisory CA-93:14 contains information about ISS.
  182.  
  183. TCP wrappers can provide access control and flexible logging to most network
  184. services. These features can help you prevent and detect network attacks. This
  185. software is available by anonymous FTP from
  186.  
  187.           ftp://info.cert.org/pub/tools/tcp_wrappers/*
  188.  
  189. The TAMU security package includes tools to check for vulnerabilities and
  190. system configuration weaknesses, and it provides logging and filtering of
  191. network services. This software is available by anonymous FTP from
  192.  
  193.           ftp://net.tamu.edu/pub/security/TAMU/*
  194.  
  195. The Swatch log file monitor allows you to identify patterns in log file entries
  196. and associate them with actions. This tool is available from
  197.  
  198.           ftp://ee.stanford.edu/pub/sources/swatch.tar.Z
  199.  
  200.  
  201. 6. Detecting Probes
  202. - -------------------
  203. One indication of attacks by SATAN, and other tools, is evidence of a heavy
  204. scan of a range of ports and services in a relatively short time.  Many UNIX
  205. network daemons do not provide sufficient logging to determine if SATAN is
  206. probing the system. TCP wrappers, the TAMU tools, and Swatch can provide the
  207. logging you need.
  208.  
  209. New tools are becoming available on the network to help you detect
  210. probes, but the CERT staff has not evaluated them.
  211.  
  212. Although detection tools can be helpful, keep in mind that their
  213. effectiveness depends on the nature and availability of your logs and
  214. that the tools may become less effective as SATAN is modified. The
  215. most important thing you can do is take preventive action to secure
  216. your systems.
  217.  
  218. 7. Using SATAN
  219. - ---------------
  220. Running SATAN on your systems will provide you with the same information an
  221. attacker would obtain, allowing you to correct vulnerabilities. If you choose
  222. to run SATAN, we urge you to read the documentation carefully. Also,
  223. note the following:
  224.  
  225. * It is easy to accidentally probe systems you did not intend to. If this
  226.   occurs, the probed site may view the probe(s) as an attack on their
  227.   system(s).
  228.  
  229. * Take special care in setting up your configuration file, and in selecting the
  230.   probe level when you run SATAN. 
  231.  
  232. * Explicitly bound the scope of your probes when you run SATAN. Under "SATAN
  233.   Configuration Management," explicitly limit probes to specific hosts and
  234.   exclude specific hosts.  
  235.  
  236. * When you run SATAN, ensure that other users do not have read access to your
  237.   SATAN directory.
  238.  
  239. * In some cases, SATAN points to CERT advisories. If the link does not work
  240.   for you, try getting the advisories by anonymous FTP.
  241.  
  242. * Install all relevant security patches for the system on which you will
  243.   run SATAN.
  244.  
  245. * Ensure that the SATAN directory tree cannot be read by users other
  246.   than root.
  247.  
  248. * Execute SATAN only from the console of the system on which it is
  249.   installed (e.g., do not run SATAN from an X terminal, from a diskless
  250.   workstation, or from a remote host).
  251.  
  252. * Ensure that the SATAN directory tree is not NFS-mounted from a remote
  253.   system.
  254.  
  255. * It is best to run SATAN from a system that does not support multiple
  256.   users.
  257.  
  258. 8. Getting more information about SATAN
  259. - ---------------------------------------
  260.  
  261. The SATAN authors report that SATAN 1.1.1 is available from many
  262. sites, including:
  263.  
  264.      ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.tar.Z
  265.      ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.README
  266.      ftp://ftp.win.tue.nl/pub/security/satan_doc.tar.Z
  267.      ftp://ftp.win.tue.nl/pub/security/satan_doc.README
  268.  
  269. To get a current list of sites, send mail to:
  270.  
  271.      majordomo@wzv.win.tue.nl
  272.  
  273. and put in the body of your message
  274.  
  275.      get satan mirror-sites
  276.  
  277. You can also use archie to locate sites that have SATAN.
  278.  
  279. MD5 checksums for SATAN:
  280.  
  281.      satan-1.1.1.README = 3f935e595ab85ee28b327237f1d55287
  282.      satan-1.1.1.tar.Z = de2d3d38196ba6638b5d7f37ca8c54d7
  283.      satan-1.1.1.tar.Z.asc = a9261070885560ec11e6cc1fe0622243
  284.      satan_doc.README = 4ebe05abc3268493cdea0da786bc9589
  285.      satan_doc.tar.Z = 951d8bfca033eeb483a004a4f801f99a
  286.      satan_doc.tar.Z.asc = 3216053386f72347956f2f91d6c1cb7c
  287.  
  288. Also available is "Improving the Security of Your Site by Breaking
  289. Into It" (admin-guide-to-cracking.101), a 1993 paper in which the authors give
  290. their rationale for creating SATAN.
  291.  
  292. - ---------------------------------------------------------------------------
  293. The CERT Coordination Center staff thanks Dan Farmer and Wieste Venema for the
  294. the opportunity to examine pre-release versions of SATAN. We also appreciate
  295. the interaction with the response teams at AUSCERT, CIAC, and DFN-CERT, and
  296. feedback from Eric Allman.
  297. - ---------------------------------------------------------------------------
  298.  
  299. If you believe that your system has been compromised, contact the CERT
  300. Coordination Center or your representative in the Forum of Incident
  301. Response and Security Teams (FIRST).
  302.  
  303. If you wish to send sensitive incident or vulnerability information to
  304. CERT staff by electronic mail, we strongly advise that the e-mail be
  305. encrypted.  The CERT Coordination Center can support a shared DES key, PGP
  306. (public key available via anonymous FTP on info.cert.org), or PEM (contact
  307. CERT staff for details).
  308.  
  309. Internet E-mail: cert@cert.org
  310. Telephone: +1 412-268-7090 (24-hour hotline)
  311.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  312.            and are on call for emergencies during other hours.
  313. Fax: +1 412-268-6989
  314.  
  315. Postal address:  CERT Coordination Center
  316.                  Software Engineering Institute
  317.                  Carnegie Mellon University
  318.                  Pittsburgh, PA 15213-3890
  319.                  USA
  320.  
  321. CERT advisories and bulletins are posted on the USENET newsgroup
  322. comp.security.announce. If you would like to have future advisories and
  323. bulletins mailed to you or to a mail exploder at your site, please send mail
  324. to cert-advisory-request@cert.org.
  325.  
  326. Past advisories, CERT bulletins, information about FIRST representatives, and
  327. other information related to computer security are available for anonymous 
  328. FTP from info.cert.org. 
  329.  
  330.  
  331.  
  332. Copyright 1995, 1996 Carnegie Mellon University
  333. This material may be reproduced and distributed without permission provided it
  334. is used for noncommercial purposes and the copyright statement is included.
  335.  
  336. CERT is a service mark of Carnegie Mellon University.
  337.  
  338. =============================================================================
  339. UPDATES
  340.  
  341. Note to users of LINUX SATAN: There was a posting to USENET that a
  342. Trojan horse was introduced into a version of LINUX SATAN binaries
  343. archived on ftp.epinet.com.  CERT staff have not verified that this
  344. Trojan horse exists; however, if you are using LINUX SATAN and
  345. believe your version may be compromised, we suggest you obtain
  346. additional information from
  347.  
  348.         ftp://ftp.epinet.com/pub/linux/security
  349.  
  350. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  351. Revision history
  352.  
  353. Aug. 30, 1996  Information previously in the README was inserted
  354.                into the advisory. Updated tech tip references.
  355.  
  356. Apr. 11, 1995  Updated information based on SATAN 1.1.1 (original advisory
  357.                was based on beta version 0.51):
  358.                  Introduction - added reference to CA-95:07a
  359.                  Sec. 4 - added information on SATAN probe for unrestricted
  360.                           modems 
  361.                  Sec. 6 - added a note on tools for detecting probes
  362.                  Sec. 7 - added five additional precautions
  363.                  Sec. 8 - where to get a copy of SATAN 
  364.                           checksums for SATAN and documentation 
  365.                           where to send comments about SATAN 
  366.  
  367. Apr. 11, 1995  Sec. 3 - pathnames corrected in Sec. 3
  368.                Sec. 4-5 - colons noted in (and subsequently removed from) URLs
  369.           
  370. Apr. 11, 1995  Updates section - added a note on LINUX SATAN
  371.  
  372.  
  373.  
  374.  
  375.  
  376. -----BEGIN PGP SIGNATURE-----
  377. Version: 2.6.2
  378.  
  379. iQCVAwUBMiS4bXVP+x0t4w7BAQGa1gP8DdBg9VkW8VYwzQLNI49vZ/KejKFXyCXe
  380. hDnu0uzBktumOhQkum0JF7NnSjJTcYedJVdKGQJx8qalXCoC3p6AA/p6mNX7sr8N
  381. dj+4dwQn3gyhXtcJA7FTILvv3kPSpxWM8ZcaElRk6XxXIAkSS9EzCmXiCAslgsvF
  382. wRMyH8bGq3s=
  383. =6hSG
  384. -----END PGP SIGNATURE-----
  385.  
  386.