CERT Advisory CA-2007-10 (Technical Cyber Security Alert TA07-059A)
Sun Solaris Telnet Worm
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-059A.html
เรียบเรียงโดย: พุธ นาฑีสุวรรณ

ระบบที่ได้รับผลกระทบ

• Sun Solaris 10 (SunOS 5.10)
• Sun "Nevada" (SunOS 5.11)
  

ทั้งสถาปัตยกรรมแบบ SPARC และ แบบ Intel (x86) ก็ได้รับผลกระทบจากช่องโหว่ดังกล่าวเช่นกัน

กล่าวโดยทั่วไป

หนอนอินเทอร์เน็ตทำการโจมตีช่องโหว่ (VU#881872) กับเดมอน Telnet (in.telnetd) ของระบบซัน โซลาริส

I. คำอธิบาย

หนอนอินเทอร์เน็ตทำการโจมตีช่องโหว่ที่เดมอน Telnet (in.telnetd) กับระบบซัน โซลาริสที่ยังไม่ได้ปรับปรุงด้วยโปรแกรมปรับปรุงช่องโหว่

ช่องโหว่ดังกล่าวอนุญาตให้หนอนอินเทอร์เน็ต หรือ ผู้บุกรุก สามารถล๊อกอินผ่านทาง Telnet (23/tcp) ด้วยสิทธิระดับสูง ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าวสามารถอ่านได้จาก Vulnerability Note VU#881872 (CVE-2007-0882)

เนื่องด้วย VU#881872 จะมีข้อมูลในการโจมตี และ ข้อมูลทางด้านเทคนิคเผยแพร่อยู่ ซึ่งเป็นข้อมูลให้ผู้บุกรุกสามารถโจมตีที่ช่องโหว่นี้ด้วยเช่นกัน

รายละเอียดของหนอนอินเทอร์เน็ตมีส่วนประกอบเบื้องต้น ดังนี้

• โจมตีช่องโหว่หมายเลข VU#881872 โดยล๊อกอินผ่านทาง Telnet ด้วยบัญชีผู้ใช้ adm หรือ lp
• ดำเนินการเปลี่ยนแปลงสิทธิของ /var/adm/wtmpx เป็น -rw-r--rw-
• สร้างไดเร็กทอรี่ .adm ไว้ใน /var/adm/sa/
• เพิ่มไฟล์ .profile ไว้ใน /var/adm/ และ /var/spool/lp/
• ติดตั้งเชลล์สำหรับพิสูจน์ตัวตนแบบ Backdoor ไว้ที่พอร์ต 32982/tcp
• สร้าง crontab สำหรับบัญชีผู้ใช้ adm และ lp
• สแกนหาเครื่องอื่นภายในเครือข่ายที่เปิดการใช้งาน telnet (23/tcp)

ซันประกาศข้อมูลเกี่ยวกับหนอนอินเทอร์เน็ตดังกล่าวไว้ที่ Security Sun Alert Feed ซึ่งมีสคริปต์ที่ใช้สำหรับยกเลิกการใช้งานเดมอน telnet และ กู้คืนสิ่งที่หนอนอินเทอร์เน็ตทำการเปลี่ยนแปลงแก้ไขไว้

II. ผลกระทบ

ช่องโหว่หมายเลข VU#881872 อนุญาตให้ผู้บุกรุกระยะไกลสามารถล๊อกออนมายังระบบที่มีช่องโหว่ผ่านทาง telnet และ ได้รับสิทธิระดับสูง หนอนอินเทอร์เน็ตจะทำการโจมตีที่ช่องโหว่นี้ตามรายละเอียดที่ได้อธิบายไว้ด้านบน เมื่อหนอนอินเทอร์เน็ตทำการติดตั้งเชลล์ Backdoor ไว้แล้ว ผู้บุกรุกที่มีความเข้าใจในการพิสูจน์ตัวตนสามารถเข้าสู่ระบบดังกล่าว และ ได้รับสิทธิของโพรเสทเชลล์ Backdoor เช่นเดียวกับ adm หรือ lp

III. วิธีแก้ไข

ติดตั้งโปรแกรมปรับปรุงช่องโหว่

จากช่องโหว่หมายเลข VU#881872 ให้ทำการปรัปปรุงโปรแกรมปรับปรุงช่องโหว่ตาม Sun Alert Notification 102802

สั่งรันสคริปต์เพื่อซ่อมแซม

เพื่อกู้คืนระบบที่ถูกบุกรุก ซันจัดเตรียมสคริปต์ (inoculation script) ที่ใช้สำหรับยกเลิกการใช้งานเดมอน telnet และ กู้คืนสิ่งที่หนอนอินเทอร์เน็ตทำการเปลี่ยนแปลงแก้ไขไว้

หมายเหตุ สคริปต์เพื่อซ่อมแซมดังกล่าวสามารถกู้คืนระบบจากหนอนอินเทอร์เน็ตเท่านั้น โดยไม่รับรองความถูกต้องของระบบ ระบบที่มีช่องโหว่อาจถูกบุกรุกได้จากหลายทาง จากผู้บุกรุกที่โจมตีมายังช่องโหว่หมายเลข VU#881872 หรือ ใช้ช่องทางที่หนอนอินเทอร์เน็ตติดตั้งไว้แล้ว การกู้คืนทั้งระบบอาจจำเป็นต้องติดตั้งด้วยโปรแกรมที่มีความน่าเชื่อถือได้ เพื่อทำการติดตั้งใหม่อีกครั้ง สำหรับข้อมูลเพิ่มเติม สามารถตรวจสอบได้จาก Recovering from an Incident.

IV. วิธีแก้ไขชั่วคราว

ในกรณีที่ยังไม่สามารถแก้ไขด้วยโปรแกรมปรับปรุงช่องโหว่ได้ ควรพิจารณาตามวิธีแก้ไขชั่วคราว ดังนี้

ยกเลิกการใช้งาน Telnet

Telnet สามารถยกเลิกการใช้งานได้ด้วย root โดยใช้คำสั่ง :

# /usr/sbin/svcadm disable telnet

จำกัดการเข้าถึงด้วย Telnet

ด้วยวิธีจำกัดการเข้าถึงด้วย Telnet (23/tcp) กับระบบเครือข่ายที่ไม่ได้รับความน่าเชื่อถือ (Untrusted Networks) เช่น จากอินเทอร์เน็ต

ใช้ SSH แทนการใช้งาน Telnet

SSH มีความปลอดภัยสูงกว่าการใช้งาน Telnet ขอแนะนำให้ใช้ SSH แทนการใช้งาน Telnet

V. References

• US-CERT Vulnerability Note VU#881872 - <http://www.kb.cert.org/vuls/id/881872>
• Recovering from an Incident - <http://www.cert.org/nav/recovering.html>
• Sun Alert Notification 102802 - <http://sunsolve.sun.com/search/document.do?assetkey=1-26-102802-1>
• Solaris in.telnetd worm seen in the wild + inoculation script - <http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen>
• inoculate.local - <http://blogs.sun.com/security/resource/inoculate.local>
• CVE-2007-0882 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0882>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์