CERTA-2001-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

Un nouveau ver, très proche du ver Ramen (CERTA-2001-ALE-001) , appelé Li0n, exploite la dernière vulnérabilité de Bind pour compromettre les machines Linux.

Description

Le 29 janvier 2001, une nouvelle vulnérabilité de Bind, appelée «vulnérabilité TSIG» était annoncée (Référence CERTA-2001-AVI-010).

Cette vulnérabilité est aujourd'hui exploitée par un ver appelé Li0n. Lorsqu'une machine est compromise par ce ver, un grand nombre de fichiers est installé. Parmi eux se trouvent :

  • Le rootkit t0rnkit (reprogrammation de du, find, ifconfig, login, ls, ps, netstat, top, in.telnetd, in.fingerd, pstree);
  • Le fichier /etc/ttyhash qui contient un mot de passe chiffré ;
  • Le fichier /usr/sbin/nscd qui est en fait une version modifiée de sshd ;
  • Le fichier randb qui scanne l'équivalent d'une classe B à la recherche de versions de Bind vulnérables ;
  • Des outils de compromission automatique des machines trouvées vulnérables par rand ;
  • Le fichier mjy qui efface les traces dans les fichiers de logs.

De plus, le fichier /etc/host.deny est effacé, les fichiers /etc/passwd et /etc/shadow sont envoyés par mèl à une adresse en Chine.

Enfin, Li0n installe quelques portes dérobées (typiquement sur les ports 60008/tcp, 33567/tcp et 33568/tcp, mais ces ports peuvent être facilement modifiés).

Contournement provisoire

Filtrer au niveau du garde barrière les ports supérieurs à 1024 non explicitement autorisés sur les machines de votre réseau.

Sans Institute propose sur son site un utilitaire permettant de déceler la présence de Li0n :

http://www.sans.org/y2k/lionfind-01.1.tar.gz

Solution

Au cas où votre mise à jour de Bind n'ai pas encore été faite, reportez vous à l'avis CERTA-2001-AVI-010 afin d'avoir la liste des correctifs.

Linux avec Bind 8.2, 8.2-P1, 8.2.1, 8.2.2-Px

Impacted products
Vendor Product Description
References
Bulletin du SANS Institute None vendor-advisory
Bulletin SANS : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLinux avec Bind 8.2, 8.2-P1, 8.2.1, 8.2.2-Px\u003c/P\u003e",
  "closed_at": "2001-03-26",
  "content": "## Description\n\nLe 29 janvier 2001, une nouvelle vuln\u00e9rabilit\u00e9 de Bind, appel\u00e9e\n\u00abvuln\u00e9rabilit\u00e9 TSIG\u00bb \u00e9tait annonc\u00e9e (R\u00e9f\u00e9rence CERTA-2001-AVI-010).\n\nCette vuln\u00e9rabilit\u00e9 est aujourd\u0027hui exploit\u00e9e par un ver appel\u00e9 Li0n.\nLorsqu\u0027une machine est compromise par ce ver, un grand nombre de\nfichiers est install\u00e9. Parmi eux se trouvent :\n\n-   Le rootkit t0rnkit (reprogrammation de du, find, ifconfig, login,\n    ls, ps, netstat, top, in.telnetd, in.fingerd, pstree);\n-   Le fichier /etc/ttyhash qui contient un mot de passe chiffr\u00e9 ;\n-   Le fichier /usr/sbin/nscd qui est en fait une version modifi\u00e9e de\n    sshd ;\n-   Le fichier randb qui scanne l\u0027\u00e9quivalent d\u0027une classe B \u00e0 la\n    recherche de versions de Bind vuln\u00e9rables ;\n-   Des outils de compromission automatique des machines trouv\u00e9es\n    vuln\u00e9rables par rand ;\n-   Le fichier mjy qui efface les traces dans les fichiers de logs.\n\nDe plus, le fichier /etc/host.deny est effac\u00e9, les fichiers /etc/passwd\net /etc/shadow sont envoy\u00e9s par m\u00e8l \u00e0 une adresse en Chine.  \n  \n\nEnfin, Li0n installe quelques portes d\u00e9rob\u00e9es (typiquement sur les ports\n60008/tcp, 33567/tcp et 33568/tcp, mais ces ports peuvent \u00eatre\nfacilement modifi\u00e9s).\n\n## Contournement provisoire\n\nFiltrer au niveau du garde barri\u00e8re les ports sup\u00e9rieurs \u00e0 1024 non\nexplicitement autoris\u00e9s sur les machines de votre r\u00e9seau.\n\nSans Institute propose sur son site un utilitaire permettant de d\u00e9celer\nla pr\u00e9sence de Li0n :\n\n    http://www.sans.org/y2k/lionfind-01.1.tar.gz\n\n## Solution\n\nAu cas o\u00f9 votre mise \u00e0 jour de Bind n\u0027ai pas encore \u00e9t\u00e9 faite, reportez\nvous \u00e0 l\u0027avis CERTA-2001-AVI-010 afin d\u0027avoir la liste des correctifs.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin SANS :",
      "url": "http://www.sans.prg/y2k/lion.htm"
    }
  ],
  "reference": "CERTA-2001-ALE-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission du serveur de noms (dns)"
    }
  ],
  "summary": "Un nouveau ver, tr\u00e8s proche du ver Ramen (CERTA-2001-ALE-001) , appel\u00e9\nLi0n, exploite la derni\u00e8re vuln\u00e9rabilit\u00e9 de Bind pour compromettre les\nmachines Linux.\n",
  "title": "Prolif\u00e9ration du ver Li0n",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin du SANS Institute",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.