Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Scalper, el gusano que ataca la vulnerabilidad de Apache
 
VSantivirus No. 722 - Año 6 - Sábado 29 de junio de 2002

 Scalper, el gusano que ataca la vulnerabilidad de Apache
http://www.vsantivirus.com/scalper.htm

Nombre: FreeBSD/Scalper.Worm
Tipo: Gusano de Internet, infector ELF (Unix, Linux)
Alias: FreeBSD.Scalper.Worm, ELF_SCALPER.A, SCALPER.A, Linux/Ehcapa.worm, FreeBSD.Scalper.Worm
Fecha: 28/jun/02
Tamaño: 51 Kb
Plataformas: FreeBSD 4.5x86, Apache 1.3.22-24 y 1.3.20
Puertos afectados: 2001, 80, y 10100

Apache, en sus versiones 1.3, incluyendo la 1.3.24, y 2.0 hasta la 2.0.36 inclusive, contiene un error en el mecanismo usado para calcular el tamaño de la codificación de un área de datos denominada "chunked encoding". (Chunked encoding es parte de las especificaciones de los protocolos HTTP, utilizado para aceptar datos de los usuarios del Web).

Cuando los datos son enviados por el usuario, el servidor necesita crear un área de memoria (un búfer), de determinado tamaño, para recibir la información enviada, antes de procesarla.

Si el tamaño que ocuparán los datos es desconocido, el cliente o el navegador se comunica con el servidor para crear "trozos de datos" (chunks) de un tamaño que va siendo negociado por la transferencia a medida que esta ocurre.

Apache puede calcular mal los tamaños de estos trozos de datos, pudiéndose sobrescribir áreas críticas de la memoria, lo que permite un desbordamiento de búfer, con consecuencias tan graves, como las de poder ejecutar código malicioso en el servidor.

Aunque The Apache Software Foundation ya ha lanzado las nuevas versiones 2.0 y 1.3 de su servidor, que corrigen el grave fallo, existen 10,4 millones de computadoras que funcionan con el popular servidor Web, la mayoría de ellas sin actualizar.

El nuevo gusano fue reportado en junio de 2002 en Internet, y es detectado por los antivirus como 'Scalper' (FreeBSD.Scalper.Worm, ELF_SCALPER.A, SCALPER.A, Linux/Ehcapa.worm, FreeBSD.Scalper.Worm). Los primeros reportes indicaban que el gusano era capaz de desplazarse por Internet en busca de sistemas Apache vulnerables, instalándose en aquellos que encuentre.

El código en C está disponible en Internet, pudiendo ser modificado por cualquiera que lo desee, aumentando la peligrosidad del gusano al poderse crear fácilmente nuevas versiones del mismo. Symantec, por ejemplo, llegó a reportar dos versiones del gusano.


Descripción técnica

Este gusano se aprovecha de la vulnerabilidad 'HTTP Server chunk encoding stack overflow' que puede permitir que un vándalo, con un simple comando HTTP, pueda ejecutar ataques de denegación de servicio contra la mayoría de las 10,4 millones de computadoras que funcionan con el popular servidor Web.

Todas las versiones 1.3 y 2.0 (hasta la 2.0.36), son vulnerables.

Solo se han reportado variantes que funcionan bajo FreeBSD, sin embargo, su código está disponible en Internet, y podrían surgir modificaciones que actúen en otras plataformas (ver Linux.Slapper.Worm, un gusano P2P para servidores Apache, http://www.vsantivirus.com/slapper.htm).

FreeBSD es un avanzado sistema operativo compatible con arquitecturas Intel ia32, DEC Alpha y PC-98, que se deriva de BSD UNIX, la versión de UNIX desarrollada por la Universidad Berkeley de California.

Es capaz de causar ataques de 'flooding' en TCP, UDP, DNS, y también E-mail (consiste en enviar una excesiva cantidad de datos que termina bloqueando al sistema atacado).

Posee la habilidad de enviar gran cantidad de mensajes (SPAM) a todas las direcciones electrónicas encontradas en las máquinas que infecta.

Causa también una gran degradación en el acceso al sitio atacado, debido a la enorme cantidad de solicitudes al puerto 80 (HTML) realizadas por el troyano.

Permite además que el atacante acceda sin autorización a la computadora infectada, con las consecuencias a la seguridad del sistema que eso involucra.

El gusano intenta localizar sistemas vulnerables en un rango de direcciones IP indicadas en el propio código del mismo (como dijimos, el código podría ser modificado y compilado por cualquiera, con las modificaciones correspondientes). Las direcciones tienen este formato:

55.xxx.yyy.zzz

Las 'xxx' son dígitos generados al azar, y las 'yyy' y 'zzz' son elementos incrementados gradualmente.

El gusano envía una solicitud HTTP GET al puerto 80 a todas las direcciones y cuando localiza un servidor Apache vulnerable, se aprovecha del desbordamiento provocado por la función 'chunk encoding', y ejecuta un comando shell en forma remota, simulando una negociación entre la máquina infectada y la vulnerable.

El gusano se envía a si mismo en un formato UUEncodeado a la máquina remota, en el archivo "/tmp/.uua", que luego descodifica y ejecuta como "/tmp/.a" después de hacer ejecutable este último archivo. El troyano también mata las copias previamente instaladas del gusano en la máquina vulnerable.

El gusano envía las direcciones IP del sistema infectado, a la dirección Webmaster@mydomain.com

Después de la ejecución, el gusano abre el puerto UDP 2001 para ponerse a la escucha de instrucciones remotas. Estas instrucciones pueden generar las siguientes acciones:

  • Recolecta las direcciones electrónicas de la máquina infectada
  • Visualiza las páginas Web
  • Envía mensajes masivamente (SPAM)
  • Realiza floodings de TCP, UDP y DNS
  • Ejecución de comandos shell
  • Posibilidad de realizar otras clases de ataques de denegación de servicio

Para eliminar el gusano de una máquina infectada, borre los archivos "/tmp/.uua" o "/tmp/.a" y actualice su versión de Apache por la más reciente (2.0.39 y 1.3.26), descargándola desde http://www.apache.org/dist/httpd/


Referencias:

Descarga de las versiones 2.0.39 y 1.3.26
http://www.apache.org/dist/httpd/

Apache 1.3.26 Released
http://www.apache.org/dist/httpd/Announcement.html

Apache 2.0.39 Released
http://www.apache.org/dist/httpd/Announcement2.html

VSantivirus No. 712 - 19/jun/02
Nuevas versiones de Apache ya están disponibles
http://www.vsantivirus.com/vul-apache2.htm

VSantivirus No. 711 - 18/jun/02
El mayor agujero de seguridad en servidores Apache
http://www.vsantivirus.com/vul-apache.htm

VSantivirus No. 713 - 20/jun/02
Hackers crean herramienta para explotar falla del Apache
http://www.vsantivirus.com/20-06-02.htm

VSantivirus No. 799 - 15/set/02
Linux.Slapper.Worm, un gusano P2P para servidores Apache
http://www.vsantivirus.com/slapper.htm


Actualizaciones:
15/set/02 - Referencias a Linux.Slapper.Worm.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS