Risque

  • Compromission des machines sun solaris

Systèmes affectés

Sun Solaris 2.6, 2.7 et 2.8 avec le daemon snmpXdmid.

Résumé

Une faille dans le démon snmpXdmid a été récemment découverte. Celle-ci permet à une personne mal intentionnée de prendre le contrôle de la machine. Cette faille est actuellement massivement exploitée par les pirates.

Description

Le démon snmpXdmid est un service RPC effectuant la traduction des standards d'administration à distance SNMP (Simple Network Management Protocol) et DMI (Desktop Management Protocol). Il est installé par défaut sur Sun Solaris. La version sur Sun Solaris contient une vulnérabilité qui permet à une personne mal intentionnée de prendre le contrôle d'une machine.

Lorsqu'une machine est compromise par cette faille, des fichiers sont installés par le pirate.

Parmi ceux-ci se trouvent :

  • Un "rootkit" pour Sun Solaris (reprogrammation de du, find, ls, netstat, passwd, ping, psr, su) ;
  • Un renifleur de mots de passe ;
  • Un nettoyeur de fichiers journaux ;
  • Des outils pour installer des portes dérobées (l'une d'entre elles se dissimule sous le démon identd).

Contournement provisoire

  • Filtrer les ports :
    • 111/tcp (sunrpc - portmapper) ;
    • 6500/udp ;
    • 113/tcp (identd).
  • Arrêter le service smpdXdmid en renommant le fichier /etc/rc?.d/S??dmi en /etc/rc?.d/K07dmi (où ? correspond au niveau de lancement) et en lançant la commande '/etc/init.d/init.dmi stop'. Il est également recommandé de changer les droits d'accès du binaire en utilisant la commande : 'chmod 000 /usr/lib/dmi/snmpXdmid'.

Solution

Appliquer le patch correctif de Sun sur snmpXdmid lorsque celui-ci sera rendu publique.