S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 janvier 2001
N° CERTA-2001-ALE-001
Affaire suivie par: CERT-FR
le 19 janvier 2001

Bulletin d'alerte du CERT-FR

Objet: Propagation du ver Ramen sous Linux.

Gestion du document

Référence CERTA-2001-ALE-001
Titre Propagation du ver Ramen sous Linux.
Date de la première version 19 janvier 2001
Date de la dernière version 19 janvier 2001
Source(s) Avis IN-2001-01 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Propagation de ver;
  • défiguration de sites web;
  • dénis de services;
  • destruction de fichiers de configuration;
  • compromission.

Systèmes affectés

  • Linux RedHat 6.2 et 7.0, Mandrake 6.0 à 7.1 à priori (liste non-exhaustive).
  • Mais, toute autre machine (actuellement ayant une architecture i386) sur laquelle n'ont pas été appliqués les correctifs concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) est susceptible d'être attaquée.
  • Une modification du ver n'est pas impossible, tout système n'étant pas à jour est susceptible d'être corrompu.

Résumé

Le ver nommé Ramen se propage via les vulnérabilités citées ci-dessus, détériore les configurations des systèmes et défigure les sites web hébergés par les machines qu'il a compromises.

Description

Le ver Ramen est basé sur des scripts shells accompagnés de fichiers binaires qui utilisent les vulnérabilités de Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) pour se propager.

Lorsqu'il a obtenu les privilèges root sur la machine victime, il va télécharger, depuis une machine déjà compromise, le toolkit lui permettant de compromettre d'autres machines après avoir fait les actions qui suivent :

  • modifie certains fichiers de configuration (/etc/hosts.deny,/etc/rc.d/rc.sysinit,...),
  • crée un répertoire contenant un fichier (/usr/src/.poop/myip) ainsi qu'un programme (un serveur nommé /usr/sbin/asp),
  • détruit des fichiers (/usr/sbin/rpc.statd et /sbin/rpc.statd
  • et remplace la page index.html du serveur web hebergé par son hôte (si il existe) par sa propre version de index.html. Il s'agit d'une image d'un sachet de pâtes accompagnée du message : « Hackers loooooooooooooove noodles. ».
    • Pour les systèmes utilisant le fichier /etc/inetd.conf, le ver y ajoute le service /usr/sbin/asp et redémarre le démon inetd.
    • Pour les systèmes ne possédant pas de fichier /etc/inetd.conf, le même service est ajouté dans le fichier /etc/xinetd.conf et le démon xinetd et redémarré.

    Ceci permet au ver d'écouter sur le port 27374.

  • Enfin, le toolkit (/usr/src/.poop/ramen.tgz) installé, il lance un scan sur le réseau pour compromettre d'autres victimes.

Contournement provisoire

Un garde-barrière refusant l'accès entrant ou sortant sur le port 27374/TCP empêchera le téléchargement, dans un sens comme dans l'autre, du toolkit et donc la propagation du ver.

Solution

Appliquer tous les correctifs fournis par l'éditeur des systèmes, notamment (dans l'immédiat) ceux indiqués dans les documents émis par le CERTA concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087).

Documentation

Avis du CERT/CC :

http://www.cert.org/incident_notes/IN-2001-01.html

Gestion détaillée du document

    le 19 janvier 2001
    version initiale.