Un gusano se encuentra explotando una vulnerabilidad en el demonio telnet de Sun Solaris
Ambas arquitecturas son afectadas, SPARC e Intel (x86)
Un gusano se encuentra explotando una vulnerabilidad en el demonio telnet (in.telnetd) de sistemas Sun Solaris no actualizados. La vulnerabilidad permite que el gusano (o cualquier intruso) tenga acceso al sistema vía telnet (23/tcp) con privilegios. Más detalles respecto a esta vulnerabilidad se encuentran disponibles por medio de las notas de la vulnerabilidad VU#881872 (CVE-2007-0882).
Debido a la facilidad para explotar la vulnerabilidad VU#881872 y a que existe publicada información técnica respecto a ella, no nada más el gusano, sino cualquier intruso podría explotar esta vulnerabilidad.
Las características de esta vulnerabilidad son, pero no se limitan a:
Sun ha publicado la información del gusano en su sistema de alertas de seguridad incluyendo un script que deshabilita el demonio telnet y revierto los cambios realizado por el gusano.
La vulnerabilidad VU#881872 permite que un intruso pueda acceder al sistema de forma remota en sistemass vulnerables vía telnet y obtener privilegios de administrador. El gusano aprovecha esta vulnerabilidad para comprometer equipos tal como se describe arriba. A partir de que el gusano instala un shell como puerta trasera, es posible que un intruso con conocimientos sobre el proceso de autenticación pueda acceder al sistema y realizar cualquier acción con privilegios de usuario adm o lp.
Instalación de actualización
Para tratar la vulnerabilidad VU#881872, aplicar las actualizaciones adecuadas referentes a la alerta de seguridad 102802 de SUN.
Ejecución de script
Para restaurar los sistemas comprometidos, SUN ha publicado un script que deshabilita el demonio telnet y revierte los cambios que el gusano realiza. Es importante resaltar que este script sólo restaura los cambios que realiza este gusano. Al ejecutar el script, no se garantiza la integridad del sistema. Un sistema puede ser vulnerable de diferentes formas: un intruso puede explotar la vulnerabilidad VU#881872 o utilizar una puerta trasera instalada por el gusano. Para hacer una restauración completa, será necesario reinstalar el sistema comprometido utilizando software obtenido de fuentes confiables.
Hasta que se apliquen las actualizaciones correspondientes, se de considerat las siguientes medidas:
Deshabilitar telnet
El demonio de telnet puede deshabilitarse haciendo uso de los siguientes comandos como usario root
# /usr/sbin/svcadm disable telnet
Restringir el acceso a telnet
Restringir el acceso a telnet (23/tcp) a redes no confiables tales como Internet
Usar SSH en lugar de telnet
SSH comparado con telnet, hace uso de un método más seguro para la autenticación remota. De forma general, se recomienda usar SSH en lugar de telnet.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT