Slapper, un gusano que infecta maquinas con Apache y OpenSSL

Escrito el 19 septiembre, 2002 – 8:00 | por storm | 1.367 lecturas

Se descubrio un nuevo gusano circulando por internet, que aprovecha el bug en el toolkit OpenSSL
reportado hace uno meses, y ya hay miles de servers infectados.

(sigue…)

Openssl es una implementación open source del SSL, la cual, es utilizada por miles de aplicaciones
hoy en dia, una de ellas, el Apache.

Tiempo atras se descubrio una vulnerabilidad en ésta, y ya esta circulando un nuevo gusano, llamado Slapper, que se aprovecha de la misma.
Por lo tanto, si en su momento actualizaste la lib y las aplicaciones en cuestion, deberias estar tranquilo, peroo, parece que no es
asi en la mayoria de los casos, ya que gran cantidad de servidores (mas de 8000 al momento) se encuentran infectados.

Lo interesante de este nuevo gusano, es que a medida que va infectando los servers, arma entre
ellos una red P2P (Peer-to-Peer) , similar a la que utiliza Kazaa,GNUTella, etc, permitiendo
a este hermoso y simpatico guzanito o a su autor, ejecutar lo que quiera, cuando quiera, y en cualquiera de los servidores, remotamente.

Lo que hace en principio es escanear un pool de Clases A en busca de victimas, y va intentando conectarse al puerto 80 de cada uno de los equipos
encontrados. Si logra conectarse, chequea que el contenido del header “Server:” sea “Apache”, y en caso de serlo, intenta conectarse
al servidor SSL (port 443), ahi lo que hace es subir al servidor el archivo ‘.bugtraq.c’ (source del gusano) utilizando la vulnerabilidad
de openssl y lo deja en /tmp, luego lo compila utilizando gcc, y lo ejecuta, agregando asi un nuevo server a la red P2P.

El port que utiliza es el 2002/UDP y según el análisis del codigo posee la habilidad de subir y ejecutar comandos arbitrarios en los servidores
infectados a traves de su red P2P.

Como prevenirse?

Actualizar a la ultima version de OpenSSL (0.9.6g) ,si es que no lo hiciste y para mayor seguridad, bloquear el puerto 2002 (UDP/TCP).

Como detectarlo?

Chequear si existen estos archivos: /tmp/.uubugtraq , /tmp/.buqtraq.c , /tmp/.bugtraq
Chequear si hay trafico desde tus equipos, utilizando el port 2002 (UDP)

Links / Referencias:

Alerta del Equipo de OpenSSL: http://www.openssl.org/news/secadv_20020730.txt
CERT(r) advisory: http://www.cert.org/advisories/CA-2002-23.html
Debian: http://www.debian.org/security/2002/dsa-136
Mandrake: http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php
RedHat: http://rhn.redhat.com/errata/RHSA-2002-155.html
SuSE: http://www.suse.com/de/security/2002_027_openssl.html
Internet Storm Center: http://isc.incidents.org/analysis.html?id=167
F-Secure: http://www.f-secure.com/slapper/

You must be logged in to post a comment.

Buscar: