Risque
Compromission du serveur de noms (DNS)
Systèmes affectés
Linux avec Bind 8.2, 8.2-P1, 8.2.1, 8.2.2-Px
Résumé
Un nouveau ver, très proche du ver Ramen (CERTA-2001-ALE-001) , appelé Li0n, exploite la dernière vulnérabilité de Bind pour compromettre les machines Linux.
Description
Le 29 janvier 2001, une nouvelle vulnérabilité de Bind, appelée «vulnérabilité TSIG» était annoncée (Référence CERTA-2001-AVI-010).
Cette vulnérabilité est aujourd'hui exploitée par un ver appelé Li0n. Lorsqu'une machine est compromise par ce ver, un grand nombre de fichiers est installé. Parmi eux se trouvent :
- Le rootkit t0rnkit (reprogrammation de du, find, ifconfig, login, ls, ps, netstat, top, in.telnetd, in.fingerd, pstree);
- Le fichier /etc/ttyhash qui contient un mot de passe chiffré ;
- Le fichier /usr/sbin/nscd qui est en fait une version modifiée de sshd ;
- Le fichier randb qui scanne l'équivalent d'une classe B à la recherche de versions de Bind vulnérables ;
- Des outils de compromission automatique des machines trouvées vulnérables par rand ;
- Le fichier mjy qui efface les traces dans les fichiers de logs.
De plus, le fichier /etc/host.deny est effacé, les fichiers /etc/passwd et /etc/shadow sont envoyés par mèl à une adresse en Chine.
Enfin, Li0n installe quelques portes dérobées (typiquement sur les ports 60008/tcp, 33567/tcp et 33568/tcp, mais ces ports peuvent être facilement modifiés).
Contournement provisoire
Filtrer au niveau du garde barrière les ports supérieurs à 1024 non explicitement autorisés sur les machines de votre réseau.
Sans Institute propose sur son site un utilitaire permettant de déceler la présence de Li0n :
http://www.sans.org/y2k/lionfind-01.1.tar.gz
Solution
Au cas où votre mise à jour de Bind n'ai pas encore été faite, reportez vous à l'avis CERTA-2001-AVI-010 afin d'avoir la liste des correctifs.
Documentation
- Bulletin SANS :
http://www.sans.prg/y2k/lion.htm
- CERTA-2001-ALE-001 ;
- CERTA-2001-AVI-010.
