BugTraq #8
Xakep, номер #032, стр. 032-008-1
Security (faq@real.xakep.ru)
*BSD telnetd
В Cyberarmy list`e появилась куча новых HTTP проксей/соксов, на IRC пришли сотни новых ботов, с диалапным хостом стало сидеть опасно, чуть что - мощный флуд, свопы CC расходятся по рукам после взлома некогда стабильных систем... В чем дело?!! Очень просто, появился новый серьезный удаленный эксплойт на уязвимость в telnetd для ряда *BSD систем (BSDI 4.x, IRIX 6.5, NetBSD 1.x, OpenBSD 2,x, Solaris 2.x, а также FreeBSD от 2 до 4.*). В результате тысячи машин по всему миру обрели новых рутов за несколько часов после заявки xploit`a в Багтреке! Появились и запускались черви, сканившие Сеть на открытый телнет и баннер уязвимого демона, с дальнейшим автоматическим получением рута, установкой патча и заброса бэкдора в систему с централизованным управлением. В чем же суть бага? Все было обнаружено командой Teso, которые и приготовили одну из разновидностей эксплойта. Основные проблемы завязаны на функцию telrcv(), отвечающую за обработку направляемых клиентом данных. При активных (многократных) обращениях клиента случаются проблемы с recv_ayt() - переполнение одного из буферов. С изначальным сплойтом получить права юзера, с которого был пущен демон, - не получалось :(. Проблема разрешилась с новой версией тулзы, что валяется на hack.co.za. Разбор полетов и рекомендации по борьбе с багом в FreeBSD Security advisory www.freebsd.org/security . На одной из машин, где у меня есть пара легальных шеллов, уже неделю вообще закрыт telnet: размышляют - чего делать, наверное :). SSHz r0ck d4 w0r1d!
Win2K telnet service
Эстафету по поиску дырявых телнетов через несколько дней продолжила security-контора Sec Point. Все получилось не случайно, т.к. они же накодили AYT-сканер по теме предыдыщего бага. Уязвимость была протестирована на W2K с SP2 и установленными всеми возможными патчами. Реакция баговой системы - выпадание как следствие ремотного DoS`а. Сканер уязвимости под вин можно стянуть с www.secpoint.com, а также стоит почаще заглядывать на Microsoft.com в поисках патча, которого на момент сборки bugtraq еще не было. А пока логичным будет отрубить в панели сервисов - telnet (Start->Control-Panel->Administrative-Utils->Services).
Signal/FreeBSD
Локальный баг в 3.1-4.3 системах фряхи (было протестировано автором), найденный сверхчеловеком - Georgi Guninsky - в начале июля. В отличие от MS, Berkley`евские наследники прореагировали моментально, подготовив патч под 4.3. При старте процесса ядро очищает сигнальные handler`ы, т.к. они оказываются нерабочими в новом адресном пространстве. Где же тут западло? Все спрятано в обозначенной очистке handler`а сигналов, в процессе которой некоторые сигнальные хэндлеры остаются в силе даже по окончании намеченного действия. Большинство "сигнальных" было очищено, но не все. Сие позволяет атакующему исполнить нужный код со вполне серьезных и понятных полномочий. Проблема была разрешена полной зачисткой "сигнальных" после выполнения. Несложное решение, дополненное общими апдейтами, о которых можно почитать в security разделе дистрибутива. Общей же стратегией по борьбе с локальным эксплойтингом остается предотвращение доступа непроверенными людьми к твоей системе. Сливаем патч, затем cd /usr/src/sys/ke и patch -p < /path/to/patch. Эксплойт же от lamerboy`a тянем здесь - http://packetstormsecurity.org/0107-exploits/sig.c. Последний - яркий пример добавлений всякой понтовой бойды в короткий код. Дурной тон.
