Se ha detectado la presencia de un troyano en algunas copias del código
fuente de Sendmail distribuidas a través de Internet. Según se ha
informado un intruso modificó el código fuente para incluir el troyano y
comprometió la seguridad del servidor FTP oficial, ftp.sendmail.org,
para hospedar las copias infectadas.
Desde el 28 de septiembre, fecha en la que se estima se introdujo el
troyano, hasta el 6 de octubre, los usuarios que hayan descargado los
ficheros sendmail.8.12.6.tar.z y sendmail.8.12.6.tar.gz pueden estar
afectados. Actualmente el servidor FTP está fuera de servicio debido a
este ataque y los usuarios pueden descargar la versión legítima de
Sendmail desde el servidor web http://www.sendmail.org/ cuyas copias no
han sufrido el incidente.
El troyano introducido en estos paquetes de distribución de Sendmail
tenía como misión conectarse a un servidor remoto a través del puerto
TCP/6667 y permitir al intruso ejecutar código en el servidor infectado.
Para evitar este tipo de ataques el CERT y el Sendmail Consortium
recomiendan comprobar siempre las firmas digitales de los ficheros
descargados antes de proceder a su instalación, ya que de esta forma
podemos comprobar su integridad y detectar si han sido manipulados.
Los MTA (Mail Transport Agent) son los programas encargados de
transferir los mensajes de correo electrónico y hacerlos llegar a su
destino. Sendmail es el MTA más utilizado en Internet y suele formar
parte de los servidores de correo de plataformas Unix. La misión
principal de Sendmail consiste en recoger los e-mails enviados por los
usuarios a través de sus clientes de correo y elegir la estrategia de
reparto para que lleguen correctamente al servidor de correo del
destinatario.
bernardo@hispasec.com
Más información:
CERT Advisory CA-2002-28 Trojan Horse Sendmail Distribution
http://www.cert.org/advisories/CA-2002-28.html
