Risque
Compromission des machines Sun Solaris.
Systèmes affectés
Sun Solaris 2.6, 2.7 et 2.8 avec le daemon snmpXdmid.
Résumé
Une faille dans le démon snmpXdmid a été récemment découverte. Celle-ci permet à une personne mal intentionnée de prendre le contrôle de la machine. Cette faille est actuellement massivement exploitée par les pirates.
Description
Le démon snmpXdmid est un service RPC effectuant la traduction des standards d'administration à distance SNMP (Simple Network Management Protocol) et DMI (Desktop Management Protocol). Il est installé par défaut sur Sun Solaris. La version sur Sun Solaris contient une vulnérabilité qui permet à une personne mal intentionnée de prendre le contrôle d'une machine.
Lorsqu'une machine est compromise par cette faille, des fichiers sont installés par le pirate.
Parmi ceux-ci se trouvent :
- Un "rootkit" pour Sun Solaris (reprogrammation de du, find, ls, netstat, passwd, ping, psr, su) ;
- Un renifleur de mots de passe ;
- Un nettoyeur de fichiers journaux ;
- Des outils pour installer des portes dérobées (l'une d'entre elles se dissimule sous le démon identd).
Contournement provisoire
- Filtrer les ports :
- 111/tcp (sunrpc - portmapper) ;
- 6500/udp ;
- 113/tcp (identd).
- Arrêter le service smpdXdmid en renommant le fichier /etc/rc?.d/S??dmi en /etc/rc?.d/K07dmi (où ? correspond au niveau de lancement) et en lançant la commande '/etc/init.d/init.dmi stop'. Il est également recommandé de changer les droits d'accès du binaire en utilisant la commande : 'chmod 000 /usr/lib/dmi/snmpXdmid'.
Solution
Appliquer le patch correctif de Sun sur snmpXdmid lorsque celui-ci sera rendu publique.
Documentation
Bugtraq
