miércoles, 24 de septiembre de 2003

Grave vulnerabilidad en sadmin en configuraciones por defecto de Solaris

Se ha lanzado la voz de aviso sobre la configuración por defecto de
sadmin (Solstice Administration Daemon) en sistemas Solaris, ya que se
ha detectado la existencia de exploits para aprovecharla remotamente y
conseguir acceso root.

Solstice AdminSuite es un conjunto de herramientas incluidas en los
sistemas operativos Solaris para ayudar a los administradores a
controlar los sistemas de forma remota, centralizar la información de
configuraciones y monitorizar el software empleado. Las aplicaciones
Solstice AdminSuite hacen uso del demonio sadmind para realizar estas
tareas de administración distribuida de sistemas. Generalmente, el
demonio sadmind se instala y habilita en las configuraciones por
defecto de Solaris.

El problema consiste en el uso por defecto del mecanismo de
autenticación "AUTH_SYS", utilizado normalmente en entornos
'confiables' por su inseguridad inherente debida a la facilidad de
falsificación de credenciales de clientes.

Esta vulnerabilidad puede ser explotada para ejecutar comandos
arbitrarios en el sistema con los privilegios que tenga el propio
demonio sadmind (que normalmente suelen ser los de root). El proceso
involucraría el envío de una secuencia de llamada a procedimiento
remoto especialmente construida a tal efecto para falsificar las
credenciales del cliente.

La compañía Sun no prevé el lanzamiento de ninguna actualización para
solucionar este problema. Por lo que se recomienda o bien desactivar
el demonio que presenta la vulnerabilidad (sadmind), o bien activar
la autenticación fuerte (AUTH_DES) añadiendo el parámetro "-S 2" a la
entrada sadmind del archivo inetd.conf.

En cualquier caso, los servicios de RPC no deberían ser accesibles a
sistemas a través de Internet, por lo que también sería recomendable
restringir el acceso a éstos al entorno local de red.


Julio Canto
jcanto@hispasec.com


Más información:

Security Issue Involving the Solaris sadmind(1M) Daemon
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/56740

Remote Root Exploitation of Default Solaris sadmind Setting
http://www.idefense.com/advisory/09.16.03.txt

sadmind(1M)
http://docs.sun.com/db/doc/816-0211/6m6nc676b?a=view

Sun Operating Systems Also Vulnerable to Security Attacks
http://www3.gartner.com/DisplayDocument?doc_cd=117483

[VulnWatch] iDEFENSE Security Advisory 09.16.03: Remote Root Exploitation of Default Solaris sadmind Setting
http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0109.html

[VulnWatch] Solaris SADMIND Exploitation
http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0115.html

rootdown.pl Remote command executiong via sadmind
http://www.metasploit.com/tools/rootdown.pl

Sun Solstice AdminSuite ships with insecure default configuration
http://www.kb.cert.org/vuls/id/41870

Sun Solaris SAdmin Client Credentials Remote Administrative Access Vulnerability
http://www.securityfocus.com/bid/8615

una-al-dia (27/12/1999) Desbordamiento de búffer en el demonio Sun Solstice AdminSuite "sadmind"
http://www.hispasec.com/unaaldia/426