[FUGSPBR] Fw: CAIS-Alerta: Falso exploit para a vulnerabilidade do OpenSSH

Vitor de Matos Carvalho listas em softinfo.com.br
Sex Set 19 12:08:13 BRT 2003 


 Regards,

---------------------------------------------------
Vitor de Matos Carvalho - #5602098
Softinfo Network Administrator
Salvador - Bahia - Brazil
FreeBSD: The silent Workhorse
----- Original Message ----- 
From: "Centro de Atendimento a Incidentes de Seguranca" <cais em cais.rnp.br>
To: <rnp-alerta em cais.rnp.br>; <rnp-seg em cais.rnp.br>
Sent: Friday, September 19, 2003 10:00 AM
Subject: CAIS-Alerta: Falso exploit para a vulnerabilidade do OpenSSH


> -----BEGIN PGP SIGNED MESSAGE-----
> 
> 
> Prezados,
> 
> O CAIS foi informado de que esta' circulando na comunidade hacker uma
> noticia sobre a existencia de um exploit capaz de explorar a recente
> vulnerabilidade encontrada no aplicativo OpenSSH, conforme alerta
> publicado pelo CAIS em:
> 
> http://www.rnp.br/cais/alertas/2003/openssh01.html
> 
> O suposto exploit na verdade e' um trojan que ao ser executado em
> determinada maquina, age da seguinte forma:
> 
> . somente pode ser executado pelo root, caso contrario ocorre um
>   erro e a execucao e' abortada, exibindo a seguinte mensagem:
> 
> "sorry dude need root for rawip"
> 
> . ao tentar atacar uma maquina com ssh vulneravel, o trojan finge
>   um ataque realizando multiplas conexoes contra a porta 22 da
>   maquina vitima. A mensagem exibida pelo "exploit" e':
> 
> "r00ting box..."
> 
> . cria uma conta na maquina, chamada de sys3 com UID 0, ou
>           seja, com o mesmo UID do super-usuario (root). Cada execucao do
>           "exploit" adicionara' o usuario sys3.
> 
> . grava a saida da execucao dos seguintes comandos no arquivo
>   /tmp/.tmp
> 
> - ifconfig -a
> - cat /etc/passwd /etc/shadow /root.ssh*/known_hosts
> - find /home/ -name known_hosts -exec cat {}
> 
> . envia o arquivo /tmp/.tmp para o usuario
>   m0nkeyhack em supermarkt.de, forjando o usuario de origem como
>   sendo ownage em gmx.de. Maquinas com suspeita de terem sido
>           contaminadas com este trojan podem confirmar a
>           contaminacao, verificando a presenca destes
>           enderecos de email no arquivo /var/log/maillog.
> 
> . no final do processo, o arquivo /tmp/.tmp e' apagado.
> 
> 
> Detalhes dos arquivos:
> 
> Nome: sshexp.tar.bz2.tar
> MD5: 1a34d4428d932d35c0966806b29d5b9c
> 
> Nome: sshexp.tar.bz2
> MD5: 1a34d4428d932d35c0966806b29d5b9c
> 
> 
> Detalhes do conteudo:
> 
> Nome: README
> MD5:  3b754b2233e9c80bd4070754f6587c94
> 
> Nome: buffer.adv
> MD5:  4059d198768f9f8dc9372dc1c54bc3c3
> 
> Nome: theosshucksass
> MD5:  830ad2439d9b9206794e5d1a527f8ee0
> 
> Os arquivos acima, quando criados na maquina que executou o "exploit",
> possuirao as seguintes caracteristicas: (horarios em GMT-3)
> 
> - -rw-------    1 31337    31337          14 Sep 18 18:39 buffer.adv
> - -rw-------    1 31337    31337         728 Sep 18 16:10 README
> - -rwxr-xr-x    1 31337    31337        9293 Sep 18 18:32 theosshucksass
> 
> 
> Maiores informacoes sobre a vulnerabilidade do OpenSSH podem ser
> encontradas em:
> 
> . Novidades sobre a vulnerabilidade do OpenSSH
>   http://www.rnp.br/cais/alertas/2003/CA200324.html
> 
> . Vulnerabilidade remota no OpenSSH
>   http://www.rnp.br/cais/alertas/2003/openssh01.html
> 
> 
> O CAIS recomenda aos administradores manterem seus sistemas e aplicativos
> sempre atualizados, de acordo com as ultimas versoes e correcoes
> disponibilizadas pelos fabricantes.
> 
> 
> Atenciosamente,
> 
> 
> ################################################################
> #   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
> #       Rede Nacional de Ensino e Pesquisa (RNP)               #
> #                                                              #
> # cais em cais.rnp.br       http://www.cais.rnp.br                #
> # Tel. 019-37873300      Fax. 019-37873301                     #
> # Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
> ################################################################
> 
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 6.5.8
> 
> iQCVAwUBP2r+Bukli63F4U8VAQFXlQQAxmvB/nDnYPAAfgjT4kDZ2gNRN/uAjNfY
> AMNImipVEWMVg3Q7Rw2ALZyIQuMbXyUKyauFmpx25PFnjDt4utzC0BhGedihatGP
> 7s/ACIO0Jlc6cJ7H55rw64SmHdyQHxNpjYXqcglpqmK5fKIQOCXupybZ3FIP+eia
> oSHxSpQUOFI=
> =fey4
> -----END PGP SIGNATURE-----
> 
> 
>

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd