|
VSantivirus No. 259 - Año 5 - Sábado 24 de marzo de 2001
Nombre: Linux/Lion.worm
Tipo: Gusano de Internet de Acceso Remoto
Origen: China
Fecha: 23/mar/01
Alias: Lion, Linux.Lion.Worm, Lion worm
Se trata de un gusano de Internet, que afecta servidores bajo el sistema operativo
Linux. No son afectadas computadoras bajo ninguna versión de Windows.
Para muchos expertos, se trata de un virus mucho más peligroso que el
Ramen (ver VSantivirus No. 195 - Año 5 - Viernes 19 de enero de 2001,
"Linux.Ramen.Worm. Se propaga a gran velocidad en
Linux" y VSantivirus No. 229 - Año 5 - Jueves 22 de febrero de 2001,
"Nueva versión del virus Ramen para Linux
descubierta").
Este gusano se aprovecha de una vulnerabilidad conocida desde hace un tiempo
(TSIG vulnerability), y la única razón de los numerosos casos reportados en un plazo de pocas horas, es porque son muchos los administradores que no han puesto al día sus sistemas.
A diferencia del Ramen, que solo afecta máquinas bajo Linux Red Hat 6.2 o
7.0, Lion se aprovecha de una vulnerabilidad que afecta máquinas bajo Linux, que corran las versiones
8.2, 8.2-P1, 8.2.1, 8.2.2-Px, y todas las 8.2.3-betas de BIND (Berkeley Internet Name Domain), la aplicación más utilizada como software de los servidores de nombre en Internet (DNS) (ver VSantivirus No. 211 - Año 5 - Domingo 4 de febrero de 2001,
"Sobre las vulnerabilidades BIND").
Esta vulnerabilidad, reportada en enero de 2001, permite la ejecución de órdenes arbitrarias en el servidor.
Una solicitud correcta a un servidor DNS corriendo BIND, suele ser el nombre de un dominio. La respuesta sería la dirección IP válida para acceder a las máquinas de ese dominio.
Sin embargo, esta vulnerabilidad permite el envío de determinada cadena de caracteres, y como resultado, se puede llegar a ejecutar comandos en forma arbitraria, ocasionando un desbordamiento de búfer y ejecutando código malicioso.
Por otra parte, cada uno de estos sistemas atacados por el Lion, se convierte a su vez en atacante, lo que en pocos minutos puede ocasionar la caída de muchos sistemas, causando un grave perjuicio a la navegación por Internet.
Este gusano descarga sus archivos desde el dominio 51.net, el cuál está registrado en China.
Bloquea además el IP 211.100.18.56 para prevenir cualquier intento de comunicarse con dicha dirección.
Lion también puede robar contraseñas de los sistemas afectados, y además puede instalar y esconder varias herramientas usadas por hackers, y acceder a los sistemas afectados con privilegios tales, que le permitan atacar desde allí a otros sistemas vulnerables.
El gusano utiliza una aplicación llamada RANDB para examinar al azar redes de clase B. Busca el puerto 53 de TCP, y se aprovecha de los sistemas Linux que no han actualizado sus sistemas con los parches para las vulnerabilidades BIND mencionadas.
El gusano instala en el sistema atacado, una herramienta llamada
"t0rn rootkit", y una vez que toma el control de un sistema vulnerable, envía las contraseñas y otro tipo de información a una dirección de e-mail con dominio
china.com.
También instala versiones "troyanizadas" de SSH y LOGIN.
La herramienta "t0rn rootkit" reemplaza varios archivos binarios en el sistema atacado:
du
find
ifconfig
in.telnetd
in.fingerd
login
ls
mjy
netstat
ps
pstree
top
Aunque el gusano actualmente sólo afecta servidores basados en
Linux, es muy probable que se modifique para atacar servidores
Unix en general.
Lo que hace peligroso a este virus, es la combinación de los ataques automatizados, la instalación de paquetes de herramientas potencialmente peligrosas, y el hecho de irrumpir en un sistema, atacarlo y propagarse, sin necesidad de ninguna acción humana.
Aun cuando un administrador descubra al gusano, actualice el sistema e instale las versiones más nuevas o los parches respectivos, el hacker que recibió vía e-mail las contraseñas tiene el poder de invadir el sistema otra vez, tal vez con otros métodos. Y si las contraseñas robadas pertenecen a un ISP con miles de usuarios, podría llevar un largo rato y mucho trabajo extra, el publicar nuevas contraseñas y recobrar el control de la seguridad.
El gusano afecta las siguientes versiones del paquete BIND:
8.2
8.2-P1
8.2.1
8.2.2-Px
8.2.3-betas (todas)
Los administradores deberán actualizar las versiones de este servicio, a los efectos de prevenir este tipo de ataque.
También se aconseja bloquear el acceso al host "coollion.51.net", utilizado por el gusano para la descarga de sus archivos, y también el dominio
"china.com", al que el gusano envía un e-mail con datos del sistema atacado.
Existe una utilidad llamada "Lionfind" capaz de detectar el gusano en un sistema infectado, que puede ser bajado de esta dirección:
http://www.sans.org/y2k/lionfind-0.1.tar.gz
Esta utilidad solo descubre la presencia del gusano, no lo elimina.
Otras referencias (en inglés):
www.sans.org/y2k/lion.htm
www.sans.org/current.htm
CERT Advisory CA-2001-02, Multiple Vulnerabilities in BIND
www.cert.org/advisories/CA-2001-02.html
ISC BIND 8 contains buffer overflow in transaction signature (TSIG) handling code
www.kb.cert.org/vuls/id/196945
Information about the t0rn rootkit
www.sans.org/y2k/t0rn.htm
Redhat Linux RHSA-2001:007-03 - Bind remote exploit
www.redhat.com/support/errata/RHSA-2001-007.html
Debian GNU/Linux DSA-026-1 BIND
www.debian.org/security/2001/dsa-026
SuSE Linux SuSE-SA:2001:03 - Bind 8 remote root compromise
www.suse.com/de/support/security/2001_003_bind8_txt.txt
Caldera Linux CSSA-2001-008.0 Bind buffer overflow
www.caldera.com/support/security/advisories/CSSA-2001-008.0.txt
www.caldera.com/support/security/advisories/CSSA-2001-008.1.txt
Linux-Mandrake BIND 8.2.3:
www.linux-mandrake.com/en/security/2001/MDKSA-2001-017.php3
En español:
Virus Attack!: El sucesor del Ramen es descubierto reproduciéndose
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=36
Ver también:
21/may/01 - Linux/Cheese.worm. ¿Un virus "benigno"?
06/abr/01 - Linux.Adore.Worm. Diseñado para crear puertas traseras
19/ene/01 - Linux.Ramen.Worm. Se propaga a gran velocidad en Linux
04/feb/01 - Sobre las vulnerabilidades BIND
|
|