Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Gerais
Terça - 09 de Dezembro de 2003 às 11:52
Por: Informante

    Imprimir


Mais dois servidores de importantes projetos da comunidade de software livre foram atacados. Um dos servidores de sincronização do Gentoo e os servidores de serviços do Savannah foram comprometidos por ataques que alteraram as permissões de acesso aos sistemas e deram privilégios de usuário "root" (equivalente a administrador, que dá plenos poderes ao usuário na máquina em questão) para os atacantes.As invasões aconteceram poucas semanas depois da descoberta de uma tentativa de colocar uma backdoor (porta de comunicação oculta) nos servidores de desenvolvimento do novo kernel do Linux e da invasão dos servidores do Projeto Debian.

O servidor público rsync.gentoo.org, parte dos serviços da distribuição Linux Gentoo, foi comprometido com a exploração de uma vulnerabilidade no serviço rsync, usado para sincronizar arquivos, como no caso de criação de mirrors (espelhos) de sites. O ataque aconteceu no dia 2 de dezembro e deixou o servidor vulnerável durante cerca de uma hora. Segundo o alerta de segurança publicado no site do rsync, as investigações sobre o ataque ainda não foram concluídas, mas já é possível afirmar que o atacante explorou uma vulnerabilidade de estouro de heap (um erro de estouro da memória reservada a determinado programa) do rsync 2.5.6 e versões anteriores para executar remotamente código arbitrário com privilégios de usuário "root".

A equipe do rsync afirmou que a vulnerabilidade de heap não poderia ser usada sozinha para obter acesso como "root" em um servidor rsync. Para fazer isso, é provável que o atacante tenha usado a vulnerabilidade do kernel do Linux, descoberta recentemente após o comprometimento de alguns servidores do Projeto Debian. A equipe do rsync anunciou também o lançamento de uma nova versão do programa, a 2.5.7, para corrigir a vulnerabilidade encontrada. A equipe de desenvolvimento do kernel do Linux disponibilizou a correção do problema do kernel no final de novembro.

Segundo o alerta divulgado, o ataque ao servidor do Gentoo foi descoberto uma hora depois de ter acontecido e logo que constatado o problema o sistema foi "retirado do ar", mas cerca de 20 usuários tinham utilizado o serviço neste intervalo de tempo. A equipe responsável pelas análises disse que a verificação de integridade dos arquivos revelou que eles não foram afetados pelo ataque.

A notícia do comprometimento do servidor Gentoo foi dada logo após a retirada do ar do site do Savannah, um servidor da Free Software Foundation usado para desenvolvimento de projetos da fundação. O sistema foi atacado no dia 2 de novembro deste ano, mas o comprometimento só foi descoberto nesta semana. Segundo o anúncio oficial divulgado, o ataque é semelhante ao sofrido pelos servidores do Projeto Debian em novembro. O atacante usou o rootkit (ferramenta que, instalada na primeira invasão, permite que o atacante volte a entrar na máquina sem ser detectado) "SucKIT" para obter acesso às máquinas como "root. A extensão dos danos do ataque ainda não foi divulgada, nem mesmo se sabe se os arquivos do Savannah foram alterados ou danificados durante o período.

Programa brasileiro ajuda a descobrir ataques

Uma das ferramentas fundamentais para a descoberta e identificação dos ataques foi o chkrootkit, programa que verifica um sistema local procurando por sinais de inserção de rootkits. O software foi criado pelo brasileiro Nelson Murilo, diretor da empresa de segurança Pangéia, e também foi usado pelo Projeto Debian para identificar o ataque aos servidores que aconteceu em novembro deste ano.

Murilo acredita que o ataque ao servidor Gentoo também foi feito com o "sucKIT", o mesmo programa identificado no comprometimento das máquinas Debian. Ele comentou que, apesar das constantes verificações por arquivos alterados nos servidores de desenvolvimento dos projetos, é possível que essa e outras invasões possam passar despercebidas por meses. Isso acontece pois os programas como o sucKIT apenas alteram o comportamento do sistema, mas não os arquivos armazenados neles. "Sem o chkrootkit, é muito difícil de encontrar (esse tipo de problema) mesmo", disse ele.

Já há páginas mostrando como verificar e limpar sistemas Debian comprometidos nos quais o uso da ferramenta brasileira é indicado. No site oficial do chkrootkit, cujo código é aberto e a distribuição é gratuita, também é possível encontrar um tutorial com mais informações sobre o uso do software.

Fonte: InfoGuerra




Comentários

Deixe seu Comentário

URL Fonte: http://infoguerra.com.br/noticia/212/visualizar/