Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION RESSOURCES CONTACTS FAQ RECHERCHER
Ver sous Solaris 10 et 11
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Alertes

Référence : CERT-IST/AL-2007.003
Version : 1.2
Date de la version : 07 Mars 2007

Classification de la vulnérabilité
Risque :
Très élevé
Conséquence : Prise de contrôle du système
Niveau de confiance : Faille officielle
Niveau de connaissance de l'attaquant : Débutant
Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Systèmes Solaris 10 et 11
Logiciel(s) impacté(s) :
  • Démon "telnetd"
Liste des produits impactés

Description
Contexte de publication :
Cette alerte fait suite à la confirmation par Sun de la présence sur Internet d'un ver exploitant la vulnérabilité du démon "telnetd" (Cf. alerte  CERT-IST/AL-2007.003  et avis  CERT-IST/AV-2007.061 ).

Sun met à disposition de la communauté un script permettant de nettoyer un système infecté (cf. section "Solution").
Nature du problème :
Un ver exploitant pour se propager la vulnérabilité du démon "telnetd" des système Solaris 10 et 11 a été détecté sur Internet. Une fois installé, ce ver tente d'ouvrir une porte dérobée ("backdoor") sur le système ainsi infecté.

Nota : Le Cert-IST a constaté la présence de ce ver en France.
Contexte technique :
La version Solaris 11 est la version Solaris en cours de développement, mais qui peut être néanmoins obtenue au travers du programme "Solaris Express".
Diagnostic :
Pour vérifier si un système Solaris 10 ou 11 est infecté :

1 - Exécuter la commande suivante :

$ ls -la /var/adm/wtmpx

si les permissions sont :

 -rw-r--rw-  1 adm adm 1116 Feb 28 12:03 wtmpx

le système peut être infecté.

2 - Exécuter la commande suivante :

$ ls -la /var/adm/sa

si un répertoire nommé  .adm  est présent le système est probablement infecté.

3 - Si les fichiers suivants sont présents sur le système, l'infection est fortement probable.

 /var/adm/.profile
/var/spool/lp/.profile 

Solution

01 - Appliquer les correctifs de Sun concernant la vulnérabilité du démon "telnetd"


SparcIntel
Solaris 10120068-02120069-02


02 - Palliatifs temporaires pour la vulnérabilité du démon "telnetd"

    Afin de limiter le risque d'attaque, les palliatifs suivants existent :

  • Désactiver le démon "telnetd" : svcadm disable telnet
  • Filtrer le port 23 sur les équipements à proximité des serveurs Solaris vulnérables ou à l'entrée du réseau d'entreprise (sur la connexion Internet)
  • Durcir l'authentification sur le démon "telnetd" : inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"

03 - Script de Sun pour nettoyer un système Solaris 10 ou 11 infecté par le ver

Identifiant(s) du problème

Documentation additionnelle

Historique
Version Commentaire Date
1.0 Création de l'alerte 28 Février 2007
1.1 Documents d'éditeurs d'anti-virus (NAI, Symantec, Sophos) et avis de sécurité de l'US-CERT 01 Mars 2007
1.2 Documents de F-Secure et Trend Micro 07 Mars 2007

Copyright © 1999-2008 Cert-IST | Mentions légales | Plan du site