CERTA-2001-ALE-001
Vulnerability from certfr_alerte - Published: - Updated:
Le ver nommé Ramen se propage via les vulnérabilités citées ci-dessus, détériore les configurations des systèmes et défigure les sites web hébergés par les machines qu'il a compromises.
Description
Le ver Ramen est basé sur des scripts shells accompagnés de fichiers binaires qui utilisent les vulnérabilités de Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) pour se propager.
Lorsqu'il a obtenu les privilèges root sur la machine victime, il va télécharger, depuis une machine déjà compromise, le toolkit lui permettant de compromettre d'autres machines après avoir fait les actions qui suivent :
-
modifie certains fichiers de configuration (/etc/hosts.deny,/etc/rc.d/rc.sysinit,...),
-
crée un répertoire contenant un fichier (/usr/src/.poop/myip) ainsi qu'un programme (un serveur nommé /usr/sbin/asp),
-
détruit des fichiers (/usr/sbin/rpc.statd et /sbin/rpc.statd
-
et remplace la page index.html du serveur web hebergé par son hôte (si il existe) par sa propre version de index.html. Il s'agit d'une image d'un sachet de pâtes accompagnée du message : « Hackers loooooooooooooove noodles. ».
- Pour les systèmes utilisant le fichier /etc/inetd.conf, le ver y ajoute le service /usr/sbin/asp et redémarre le démon inetd.
- Pour les systèmes ne possédant pas de fichier /etc/inetd.conf, le même service est ajouté dans le fichier /etc/xinetd.conf et le démon xinetd et redémarré.
Ceci permet au ver d'écouter sur le port 27374.
-
Enfin, le toolkit (/usr/src/.poop/ramen.tgz) installé, il lance un scan sur le réseau pour compromettre d'autres victimes.
Contournement provisoire
Un garde-barrière refusant l'accès entrant ou sortant sur le port 27374/TCP empêchera le téléchargement, dans un sens comme dans l'autre, du toolkit et donc la propagation du ver.
Solution
Appliquer tous les correctifs fournis par l'éditeur des systèmes, notamment (dans l'immédiat) ceux indiqués dans les documents émis par le CERTA concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087).
None| Vendor | Product | Description | ||
|---|---|---|---|---|
| N/A | N/A | Une modification du ver n'est pas impossible, tout système n'étant pas à jour est susceptible d'être corrompu. | ||
| N/A | N/A | Linux RedHat 6.2 et 7.0, Mandrake 6.0 à 7.1 à priori (liste non-exhaustive). | ||
| N/A | N/A | Mais, toute autre machine (actuellement ayant une architecture i386) sur laquelle n'ont pas été appliqués les correctifs concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) est susceptible d'être attaquée. |
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Une modification du ver n\u0027est pas impossible, tout syst\u00e8me n\u0027\u00e9tant pas \u00e0 jour est susceptible d\u0027\u00eatre corrompu.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Linux RedHat 6.2 et 7.0, Mandrake 6.0 \u00e0 7.1 \u00e0 priori (liste non-exhaustive).",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Mais, toute autre machine (actuellement ayant une architecture i386) sur laquelle n\u0027ont pas \u00e9t\u00e9 appliqu\u00e9s les correctifs concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) est susceptible d\u0027\u00eatre attaqu\u00e9e.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2001-01-19",
"content": "## Description\n\nLe ver Ramen est bas\u00e9 sur des scripts shells accompagn\u00e9s de fichiers\nbinaires qui utilisent les vuln\u00e9rabilit\u00e9s de Wu-FTPd (cf.\nCERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf.\nCERTA-2000-AVI-087) pour se propager.\n\nLorsqu\u0027il a obtenu les privil\u00e8ges root sur la machine victime, il va\nt\u00e9l\u00e9charger, depuis une machine d\u00e9j\u00e0 compromise, le toolkit lui\npermettant de compromettre d\u0027autres machines apr\u00e8s avoir fait les\nactions qui suivent :\n\n- modifie certains fichiers de configuration\n (/etc/hosts.deny,/etc/rc.d/rc.sysinit,...),\n\n- cr\u00e9e un r\u00e9pertoire contenant un fichier (/usr/src/.poop/myip) ainsi\n qu\u0027un programme (un serveur nomm\u00e9 /usr/sbin/asp),\n\n- d\u00e9truit des fichiers (/usr/sbin/rpc.statd et /sbin/rpc.statd\n\n- et remplace la page index.html du serveur web heberg\u00e9 par son h\u00f4te\n (si il existe) par sa propre version de index.html. Il s\u0027agit d\u0027une\n image d\u0027un sachet de p\u00e2tes accompagn\u00e9e du message : \u00ab Hackers\n loooooooooooooove noodles. \u00bb.\n\n - Pour les syst\u00e8mes utilisant le fichier /etc/inetd.conf, le ver y\n ajoute le service /usr/sbin/asp et red\u00e9marre le d\u00e9mon inetd.\n - Pour les syst\u00e8mes ne poss\u00e9dant pas de fichier /etc/inetd.conf,\n le m\u00eame service est ajout\u00e9 dans le fichier /etc/xinetd.conf et\n le d\u00e9mon xinetd et red\u00e9marr\u00e9.\n\n Ceci permet au ver d\u0027\u00e9couter sur le port 27374.\n\n- Enfin, le toolkit (/usr/src/.poop/ramen.tgz) install\u00e9, il lance un\n scan sur le r\u00e9seau pour compromettre d\u0027autres victimes.\n\n## Contournement provisoire\n\nUn garde-barri\u00e8re refusant l\u0027acc\u00e8s entrant ou sortant sur le port\n27374/TCP emp\u00eachera le t\u00e9l\u00e9chargement, dans un sens comme dans l\u0027autre,\ndu toolkit et donc la propagation du ver.\n\n## Solution\n\nAppliquer tous les correctifs fournis par l\u0027\u00e9diteur des syst\u00e8mes,\nnotamment (dans l\u0027imm\u00e9diat) ceux indiqu\u00e9s dans les documents \u00e9mis par le\nCERTA concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf.\nCERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087).\n",
"cves": [],
"links": [
{
"title": "Avis du CERT/CC :",
"url": "http://www.cert.org/incident_notes/IN-2001-01.html"
}
],
"reference": "CERTA-2001-ALE-001",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-01-19T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9figuration de sites web"
},
{
"description": "Propagation de ver"
},
{
"description": "Compromission"
},
{
"description": "Destruction de fichiers de configuration"
},
{
"description": "D\u00e9nis de service"
}
],
"summary": "Le ver nomm\u00e9 Ramen se propage via les vuln\u00e9rabilit\u00e9s cit\u00e9es ci-dessus,\nd\u00e9t\u00e9riore les configurations des syst\u00e8mes et d\u00e9figure les sites web\nh\u00e9berg\u00e9s par les machines qu\u0027il a compromises.\n",
"title": "Propagation du ver Ramen sous Linux.",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis IN-2001-01 du CERT/CC",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.