Ejemplo de como se defiende Debian ante ataques de Hackers

Esta noticia la pongo aquí, porque la quiero tener a la mano ya que es un ejemplo de cómo Debian se le intentó atacar sin lograr el objetivo final y que indica cuán experto debió ser el hacker y sin embargo, no tuvo éxito debido las políticas de seguridad de Debian. Por eso y mas Debian es mi distribución preferida. La noticia es la siguiente:

Uno de los servidores de Debian fue comprometido (des)gracias a la creación de un exploit 0day. Dicho exploit afecta a los últimos kernels mas específicamente a la librería PRCTL. EL 0day lo pueden encontrar en la portada de Elportal.info en la parte inferior (Linux Kernel 2.6.13 <= 2.6.17.4 sys_prctl() Local Root Exploit).

El 12 de Julio, el host gluck.debian.org fue comprometido usando una vulnerabilidad local en el kernel. El usuario malicioso se autentico correctamente a dicho servidor con una cuenta de un desarrollador. Los servicios afectados fueron, cvs, ddtp, lintian, people, popcon, planet, ports y release.

DETALLES

A las 02:43 UTC del día de ayer (12 de julio) a los administradores del host les llego un mail sospechoso entonces se pusieron a investigar y encontraron que la cuenta de uno de los desarrolladores había sido comprometida y que se había usado un exploit local que tuvo como desenlace el privilegio root.

A LAS 04:30 UTC Gluck se apago y se booteo. Otros servidores Debian han sido puestos en investigacion y fueron cerrados. Luego de parchear se volverán a abrir.
El atacante no tuvo mucho tiempo para actuar ya que, el tiempo entre que ataco al kernel y que los administradores se dieron cuenta, fue relativamente corto. Lo mas que llego a comprometer fue un único binario (/bin/ping)

La cuenta comprometida no tenia acceso a ningún servidor importante de Debian. Por lo tanto la integridad del sitio y de lugares sensibles no se vio afectado. Una investigación posterior sobre las contraseñas revelo que había un número de contraseñas débiles en muchas cuentas. El estado de la maquina esta AQUI.

LA VULNERABILIDAD

El CVE de la vulnerabilidad que fue explotada es: CVE-2006-2451.
El bug permite que un usuario local gane privilegios de raíz, vía el argumento PR_SET_DUMPABLE de la función PRCTL y de un programa que crea un archivo de vaciado de memoria en un directorio en el cual el usuario no tiene permisos. El lanzamiento estable de Debian es 3.1 alias "sarge" que contiene linux 2.6.8 y para que se queden tranquilos NO SE VE AFECTADO. El servidor que se comprometió era 2.6.16.18. Si usted, lector de EPi tiene un linux con kernel 2.6.13 hasta versiones antes de 2.6.17.4 o si tiene 2.6.16 hasta versiones antes de 2.6.16.24, ponga el parche correspondiente, ACTUALIZE POR FAVOR.

Actualmente hay 3 exploits lanzados para dicha vulnerabilidad, que en www.elportal.info en las noticias sobre exploits se pueden encontrar.

Más info en : http://www.debian.org/News/2006/20060713

Comentarios

Publicar un comentario

Entradas populares de este blog

Instalar Watchtower Library en Linux.

Imagen
Lo primero que tenemos que hacer es instalar "wine" que es el programa que permite usar aquellos programas Windows que todavía no los hay en Linux. Segundo, instalar " wine msttcorefonts " que son las fuentes TrueType de Windows manejadas por la Watchtower Library . # aptitude install wine # aptitude install msttcorefonts (Para poder instalar este paquete antes debes seguir estas instrucciones ) Instalación de Watchtower Library Introduce en tu unidad lectora de CD -ROM el disco de Watchtower Library . Yo usé la versión 2009 en español el Jueves 10 Diciembre 2009. Cuando estés viendo el contenido del CD -ROM (si no se abre, puedes acceder en Lugares , y buscando la unidad correspondiente), haz doble clic en el icono “ setup . exe “. Transcurrido un instante, comenzará la instalación como si se tratara de Windows . Decide qué instalación quieres, de CD -ROM o de disco duro. Sigue los pasos hasta que finalice la instalación. Problemas comunes e...
Leer más

Instalar Watchtower Library 2011 en Linux Mint 11

Imagen
Esta vez para instalar la Wachtower 2011 no se necesita hacer nada especial si ya antes teníamos instalada la del 2010 siguiendo las instrucciones de este post: Instalar Watchtower Library 2010 en Linux Mint 11 . Si eres testigo de Jehová y quieres recibir la versión 2011 contesta esta pregunta y te doy el link para descargarla.( Este programa es únicamente para Testigos) ¿Qué dice tu "Poder en Materia de Atención Medica" en el punto 2 . (Solo las palabras negritas.)? Como la pregunta fue contestada ahora la siguiente seria: ¿Qué dice tu "Poder en Materia de Atención Medica" en el punto 3 . (Solo las palabras negritas.)? Como dicho punto fue comentado favor comentar el 4, después contestar el 5 hasta llegar el 10, que es donde finalizare con el envió del link . Gracias Nota: Solo le daré el enlace a 10 personas.
Leer más

Cosas que Linux hace que Windows no puede. (Experiencia)

Imagen
El día Jueves 20 de Agosto de este año, como a las 4:50 p.m, estando en una oficina prestando servicio técnico, una de las personas ahí presente menciono que tenia un pendriver cuya información cree que perdió después de que se le intento desinfectar con un antivirus. Dicha persona estaba demasiada preocupada porque había perdido la información que constituía su trabajo de años. Al revisar el pendriver desde Windows XP, noté lo que se ve en la imagen de abajo: Al revisarlo con el antivirus para asegurarme que no estuviese infectado noté que el antivirus indicaba que revisaba una carpeta que con el nombre: found.000 la cual no era visible, por lo que me supuse que al activar la opción de archivos ocultos en WinXP seria posible acceder a ella pero cuando lo hice no ocurrió eso, siguió invisible, de ahí que al haber otra computadora al lado con WinVista, decidí probar con esa para ver si vei la carpeta, pero el resultado fue el mismo, pero como ya era hora de irme decidí llevarme el p...
Leer más