Sun Solaris Telnet Kurtçuğu (Worm)

Sun Solaris Telnet Kurtçuğu (Worm)

Yeni bir kurtçuk (worm) Sun Solaris telnet daemon’daki (in.telnetd) bir güvenlik açığını (VU#881872) kullanıyor. Güvenlik açığı kurtçuğun (veya saldırganların) telnet ile (23/tcp) yüksek imtiyazlar ile login olmasına izin veriyor.

Açıktan yararlanmak kolay olduğu için ve yeterli teknik bilgi herkese açık olduğu için herhangi bir saldırgan veya bu kurtçuk etkilenen sistemlere kolaylıkla girebiliyor.

Kurtçuğun karakteristiklerinden bazıları:

* VU#881872’den yararlanıp telnet kullanarak adm veya lp kullanıcısı ile login olmak
* /var/adm/wtmpx izinlerini -rw-r--rw- ye çevirmek
* /var/adm/sa altında .adm klasörünü yaratmak
* /var/adm/ ve /var/spool/lp/ altında .profile dosyalarını yaratmak
* port 32982/tcp üzerinde bir arkakapı (backdoor) kurmak
* adm ve lp kullanıcıları için crontab kayıtlarında değişiklik yapmak
* telnet (23/tcp) servisi veren diğer sistemleri taramak

Çözüm:

Sun kurtçuk ile ilgili bilgiyi ve telnet daemon’unu kapatarak kurtçuğun yaptığı değişiklikleri düzelten bir script’i yayınladı.
Açığı kapatmak için Sun Alert Notification 102802’ye göz atınız.

Geçici Çözüm:

Telnet’i kapatın
Telnet aşağıdaki komutu root olarak çalıştırarak kapatılabilir
# /usr/sbin/svcadm disable telnet
Telnet erişimini kısıtlayın
Telnet (23/tcp) servisine Internet gibi güvenilmeyen ağlardan erişimi kısıtlayın.
Telnet yerine SSH kullanın
SSH uzaktan sistemlere girişte telnet’ten daha güvenli bir metod sunar. Genel bir tavsiye olarak SSH kullanımı öneriliyor.

Kaynak: http://www.us-cert.gov/cas/techalerts/TA07-059A.html

Referanslar:

* US-CERT Vulnerability Note VU#881872
* Recovering from an Incident
* Sun Alert Notification 102802
* Solaris in.telnetd worm seen in the wild + inoculation script
* inoculate.local
* CVE-2007-0882

Etkilenen Sistemler

* Sun Solaris 10 (SunOS 5.10)
* Sun "Nevada" (SunOS 5.11)
Hem SPARC hem de Intel (x86) mimarisi etkileniyor.