Las sistemas Solaris 8.0. Solaris 7.0. Solaris 2.6 se ven afectados por
un problema de desbordamiento de búfer en SnmpXdmid por el cual un
usuario malicioso podría llegar a lograr la ejecución de código en lla
máquina atacada.
SnmpXdmid es un demonio que hace de puente o interfaz entre SNMP (Simple
Network Management Protocol) y DMI (Desktop Management Interface). Las
versiones vulnerables de snmpXdmid contienen un desbordamiento de búfer
que permite la ejecución de código arbitrario como «root».
Este ataque se está empleando en la actualidad contra múltiples sitios
que han reportado diferentes rastros en los sistemas comprometidos. Se
ha detectado una evidencia de extensos escaneos contra servicios RPC
(puerto 111/udp,tcp) con peticiones explícitas contra el puerto del
servicio snmpXdmid antes del intento de explotar la vulnerabilidad.
También se ha encontrado una copia adicional de inetd en ejecución (esta
copia emplea /tmp/bob como archivo de configuracíon). En los sistemas
afectados se han instalado diversos troyanos, un proxy IRC y un sniffer
instalado en /usr/lib/lpset.
A la espera del parche oficial de SUN, la recomendación es deshabilitar
el servicio snmpXdmid o restringir los accesos a snmpXdmid y otros
servicios RPC.
antonior@hispasec.com
Más información:
Cert:
http://www.cert.org/advisories/CA-2001-05.html
Deja una respuesta