Risques

  • Compromission
  • Destruction de fichiers de configuration
  • Défiguration de sites web
  • Dénis de service
  • Propagation de ver

Systèmes affectés

  • Linux RedHat 6.2 et 7.0, Mandrake 6.0 à 7.1 à priori (liste non-exhaustive).
  • Mais, toute autre machine (actuellement ayant une architecture i386) sur laquelle n'ont pas été appliqués les correctifs concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) est susceptible d'être attaquée.
  • Une modification du ver n'est pas impossible, tout système n'étant pas à jour est susceptible d'être corrompu.

Résumé

Le ver nommé Ramen se propage via les vulnérabilités citées ci-dessus, détériore les configurations des systèmes et défigure les sites web hébergés par les machines qu'il a compromises.

Description

Le ver Ramen est basé sur des scripts shells accompagnés de fichiers binaires qui utilisent les vulnérabilités de Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) pour se propager.

Lorsqu'il a obtenu les privilèges root sur la machine victime, il va télécharger, depuis une machine déjà compromise, le toolkit lui permettant de compromettre d'autres machines après avoir fait les actions qui suivent :

  • modifie certains fichiers de configuration (/etc/hosts.deny,/etc/rc.d/rc.sysinit,...),

  • crée un répertoire contenant un fichier (/usr/src/.poop/myip) ainsi qu'un programme (un serveur nommé /usr/sbin/asp),

  • détruit des fichiers (/usr/sbin/rpc.statd et /sbin/rpc.statd

  • et remplace la page index.html du serveur web hebergé par son hôte (si il existe) par sa propre version de index.html. Il s'agit d'une image d'un sachet de pâtes accompagnée du message : « Hackers loooooooooooooove noodles. ».

    • Pour les systèmes utilisant le fichier /etc/inetd.conf, le ver y ajoute le service /usr/sbin/asp et redémarre le démon inetd.
    • Pour les systèmes ne possédant pas de fichier /etc/inetd.conf, le même service est ajouté dans le fichier /etc/xinetd.conf et le démon xinetd et redémarré.

    Ceci permet au ver d'écouter sur le port 27374.

  • Enfin, le toolkit (/usr/src/.poop/ramen.tgz) installé, il lance un scan sur le réseau pour compromettre d'autres victimes.

Contournement provisoire

Un garde-barrière refusant l'accès entrant ou sortant sur le port 27374/TCP empêchera le téléchargement, dans un sens comme dans l'autre, du toolkit et donc la propagation du ver.

Solution

Appliquer tous les correctifs fournis par l'éditeur des systèmes, notamment (dans l'immédiat) ceux indiqués dans les documents émis par le CERTA concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087).

Documentation