El gusano Lion (león) infecta máquinas Linux no actualizadas,
comprometiendo su seguridad y propagándose de forma exponencial.
Lion utiliza una vulnerabilidad en el servidor de nombres «bind», el más
utilizado en Internet. Dicha vulnerabilidad fue solucionada hace ya dos
meses, pero todavía existen infinidad de sistemas no actualizados
conectados a Internet.
El nuevo gusano busca servidores aleatorios en Internet, intentando
localizar una versión del «bind» vulnerable. En cuanto localiza una,
aprovecha la vulnerabilidad para ejecutar código en dicho servidor que:
a) Instala el «rootkit» t0rn. Un «rookit» son un conjunto de
herramientas diseñadas para hacer más difícil la detección y
extirpación de un intruso informático, y suelen incorporar puertas
traseras para proporcionar un subsiguiente acceso fácil al sistema
por parte del atacante.
b) Envía los ficheros «/etc/passwd», «/etc/shadow» y varios datos de
red a una dirección bajo el dominio «china.com».
c) Elimina «/etc/hosts.deny», suprimiendo la protección perimetral
del software «tcp wrapper».
d) Instala puertas traseras de shells «root» en los puertos 60008
y 33567.
e) Instala una puerta trasera «SSH» en el puerto 33568.
f) Mata al proceso «syslogd», encargado de los logs del sistema.
g) Instala un troyano en «login».
h) Busca claves en «/etc/ttyhash».
i) Se sustituye el demonio «/usr/sbin/nscd» (un demonio de caché
del servicio de nombres) por un troyano SSH.
j) El «rootkit» sustituye los siguientes ejecutables, para ocultar la
intrusión: du, find, ifconfig, in.telnetd, in.fingerd, login, ls,
mjy, netstat, ps, pstree, top.
k) Se instala un shell con privilegios de «root» o administrador en
«/usr/man/man1/man1/lib/.lib/.x».
Una vez que Lion se instala en una nueva máquina, dicha máquina inicia
sondeos aleatorios de la red, en busca de más sistemas vulnerables. Su
propagación, por tanto, es exponencial.
SANS Institute, organización especializada en seguridad informática, ha
desarrollado una herramienta para detectar los archivos instalados por
Lion, llamada «lionfind». Su URL se encuentra al final de este
documento.
La recomendación es:
– Verificar si nuestra versión de «bind» es vulnerable.
– Si es el caso:
a) Desconectar la máquina de la red.
b) Verificar si hemos sido atacados ya por Lion.
– Si es así, desinfectar el sistema
c) Instalar una versión actualizada de «bind».
Como ya hemos dicho, la vulnerabilidad que aprovecha este gusano está
solucionada desde hace dos meses; los administradores de sistemas que
mantienen sus máquinas actualizadas, estarán seguros.
jcea@hispasec.com
Más información:
Lion Worm:
http://www.sans.org/y2k/lion.htm
SANS Institute: Alert – A Dangerous new worm is spreading on de
Internet:
http://lwn.net/daily/lion-worm.php3
Virus: Linux/Lion.worm, amenaza para servidores Linux:
http://terra.canalsw.com/actualidad/noticias/noticias.asp?id=10789
LIONFIND:
http://www.sans.org/y2k/lionfind-0.1.tar.gz
Analysis of the T0rn rootkit:
http://www.sans.org/y2k/t0rn.htm
Vulnerabilidades en BIND:
http://www.argo.es/~jcea/artic/hispasec127.htm
21/01/2001 – Un gusano muy activo afecta a sistemas Linux de todo el
mundo:
http://www.hispasec.com/unaaldia.asp?id=819
Deja una respuesta