El demonio RPC.STATD permite la ejecución de código arbitrario en la
máquina atacada, típicamente con los privilegios de «root».
RPC.STATD es un demonio utilizado en sistemas NFS para obtener
información sobre bloqueos (locks). Un error en la comunicación entre
RPC.STATD y el demonio SYSLOGD permite que un usuario ejecute código
arbitrario en el servidor.
La solución es actualizar el RPC.STATD (en estos momentos todas las
distribuciones LINUX están ya actualizadas). No se puede eliminar el
proceso porque ello interfiere con el sistema de ficheros NFS, aunque
ello no será un problema si no se está utilizando NFS. Tampoco se
puede hacer un filtrado por cortafuegos, ya que RPC.STATD se ejecuta
sobre un puerto dinámico, como la mayoría de los procesos RPC.
El problema afecta fundamentalmente a máquinas Linux. Los sistemas
*BSD e IRIX no son vulnerables. En este momento el ataque está siendo
explotado de forma masiva, por lo que se recomienda que se verifique
la vulnerabilidad en cada sistema y se adopten las acciones
apropiadas.
jcea@hispasec.com
Más información:
CERT Advisory CA-2000-17: Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html
Multiple Linux Vendor rpc.statd Remote Format String Vulnerability
http://www.securityfocus.com/bid/1480
rpc.statd: remote root exploit
http://www.debian.org/security/2000/20000719a
Deja una respuesta