RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Worm explora falha no telnet.d em sistemas Sun Solaris

USCERT-TA07-059A

[CAIS, 02.03.2007-16:54, revisão 01]


O CAIS está repassando o alerta do US-CERT, intitulado "TA07-059A - Sun Solaris Telnet Worm", que trata da circulação de um worm capaz de explorar uma vulnerabilidade no telnet.d em sistemas Sun Solaris, devidamente anunciada pelo CAIS em 12 de Fevereiro de 2007 (veja seção "Mais informações" [1]).

A vulnerabilidade divulgada anteriormente permite ao worm conectar-se com privilégios elevados no sistema vulnerável através do daemon telnet.d (porta 23/TCP) de sistemas Sun Solaris. Como a vulnerabilidade é relativamente simples de ser explorada, tanto o worm como um atacante que explorassem esta vulnerabilidade com sucesso poderiam obter o controle total sobre o sistema afetado.

As características do worm incluem:

  • Exploração da vulnerabilidade no telnet.d em Sun Solaris conectando-se por telnet como usuários adm ou lp;
  • Mudança de permissão do arquivo /var/adm/wtmpx para -rw-r--rw-
  • Criação do diretório .adm em /var/adm/sa/
  • Adição do arquivo .profile em /var/adm/ e /var/spool/lp/
  • Instalação de um backdoor através de um shell autenticável na porta 32982/TCP
  • Modificação no contrab dos usuários adm e lp
  • Scan de outros sistemas em busca do serviço telnet (23/TCP)

A Sun publicou informações em um alerta próprio onde incluiu um script que desabilita o daemon telnet e desfaz algumas ações conhecidas executadas pelo worm. (veja seção "Mais informações" [2])


Sistemas afetados:

  • Sun Solaris 5.10
  • Sun Solaris 5.11

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:


Medidas paliativas:

As seguintes medidas paliativas podem ser utilizadas de forma a se contornar os problemas causados pela vulnerabilidade em questão:

  • Desabilitar o serviço Telnet (in.telnetd). Isto pode ser feito pelo seguinte comando:
    $ svcadm disable telnet
     
  • Outra maneira de desabilitar o serviço:
    $ inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
     
  • Limitar os endereços IP que podem se comunicar com o servidor.

Lembre-se de que Telnet é um serviço que realiza autenticação em texto puro, ou seja, as credenciais de acesso transitam sem proteção criptográfica pela rede. Outros serviços que têm as mesmas características são rlogin e FTP. O CAIS recomenda o uso de serviços de login remoto mais seguros, como SSH.


Mais informações:


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais