Eylül 28th, 2007 Kategori: Genel |
| Yeni bir kurtçuk (worm) Sun Solaris telnet daemon‘daki (in.telnetd) bir güvenlik açığını (VU#881872) kullanıyor. Güvenlik açığı kurtçuğun (veya saldırganların) telnet ile (23/tcp) yüksek imtiyazlar ile login olmasına izin veriyor. |
| Açıktan yararlanmak kolay olduğu için ve yeterli teknik bilgi herkese açık olduğu için herhangi bir saldırgan veya bu kurtçuk etkilenen sistemlere kolaylıkla girebiliyor.
Kurtçuğun karakteristiklerinden bazıları:
* VU#881872′den yararlanıp telnet kullanarak adm veya lp kullanıcısı ile login olmak
* /var/adm/wtmpx izinlerini -rw-r–rw- ye çevirmek
* /var/adm/sa altında .adm klasörünü yaratmak
* /var/adm/ ve /var/spool/lp/ altında .profile dosyalarını yaratmak
* port 32982/tcp üzerinde bir arkakapı (backdoor) kurmak
* adm ve lp kullanıcıları için crontab kayıtlarında değişiklik yapmak
* telnet (23/tcp) servisi veren diğer sistemleri taramak
Çözüm:
Sun kurtçuk ile ilgili bilgiyi ve telnet daemon’unu kapatarak kurtçuğun yaptığı değişiklikleri düzelten bir script’i yayınladı.
Açığı kapatmak için Sun Alert Notification 102802‘ye göz atınız.
Geçici Çözüm:
Telnet’i kapatın
Telnet aşağıdaki komutu root olarak çalıştırarak kapatılabilir
# /usr/sbin/svcadm disable telnet
Telnet erişimini kısıtlayın
Telnet (23/tcp) servisine Internet gibi güvenilmeyen ağlardan erişimi kısıtlayın.
Telnet yerine SSH kullanın
SSH uzaktan sistemlere girişte telnet’ten daha güvenli bir metod sunar. Genel bir tavsiye olarak SSH kullanımı öneriliyor.
Kaynak: http://www.us-cert.gov/cas/techalerts/TA07-059A.html
Referanslar:
* US-CERT Vulnerability Note VU#881872
* Recovering from an Incident
* Sun Alert Notification 102802
* Solaris in.telnetd worm seen in the wild + inoculation script
* inoculate.local
* CVE-2007-0882 |
Etkilenen Sistemler
Etkilenenler:
* Sun Solaris 10 (SunOS 5.10)
* Sun “Nevada” (SunOS 5.11)
Hem SPARC hem de Intel (x86) mimarisi etkileniyor.
Bu yazıdaki yorumları ve değişiklikleri RSS 2.0 ile izleyebilirsiniz.
Yorum Yaz