SERVIDORES FTP DEL PROYECTO GNU HAN SIDO COMPROMETIDOS POR UN INTRUSO. Se ha reportado que el servidor FTP (gnuftp) del proyecto de software GNU fue comprometido por un intruso, aparentemente en marzo del 2003 y descubierto en la última semana de julio de 2003. El 02-08-2003 el servidor afectado fue reemplazado. El proyecto GNU es patrocinado principalmente por la organización Free Software Foundation (FSF), que desde el 02-08-2003 está verificando que los checksums de todos los archivos sean confiables antes de ponerlos de nuevo en el sitio FTP. El intruso pudo haber agregado puertas traseras, troyanos u otro código malicioso en el código fuente de las distribuciones de software que se mantenían en el sistema comprometido, aunque se ha dicho que se tiene evidencia de que el código fuente de las distribuciones GNU no fue modificado. Sin embargo, existe un serio riesgo para quienes descargan dichas distribuciones de software libre. Más información en el sitio de la FSF y en el Boletín CA-2003-21 del CERT. 
RECOMENDACIONES:  Aquellos sitios que hayan descargado software GNU de estos servidores, entre marzo y julio de 2003, deben verificar la integridad de la distribución bajada. Los sitios que "espejean" el código fuente deben verificar la integridad de sus fuentes. Los usuarios deben revisar cualquier software que hayan descargado del sitio comprometido.    «Inicio de Página»

AUMENTAN LOS ATAQUES POR COMPARTICIONES DE ARCHIVOS EN SISTEMAS WINDOWS 2000/XP. Un reporte del CERT advierte sobre un incremento en el número de reportes de sistemas con Windows 2000 y XP cuya seguridad ha sido comprometida por deficiencias en la protección de acceso compartido a archivos de los equipos. Los reportes indican un incremento en la actividad de intrusos que explotan la existencia de passwords nulas o débiles sobre archivos compartidos, lo que ha ocasionado que la seguridad de miles de sistemas hayan sido comprometidos. Se ha detectado que un objetivo primario de esta actividad son los sistemas que los usuarios utilizan en el hogar. El intruso puede tomar el control remoto del equipo, descubrir información confidencial, instalar código malicioso, cambiar y borrar archivos así como lanzar ataques a otros sitios. El CERT menciona como ejemplos de esta actividad a las herramientas de ataque conocidas como W32/Deloder, GT-bot, sdbot y W32/Slackor, que mantienen rasgos comunes de operación, como son: buscar puertos 445/tcp que estén escuchando, explotar passwords nulas o débiles para ganar el acceso a la cuenta del Administrador, abrir puertas traseras para acceso remoto, conexiones a servidores Internet Relay Chat (IRC) para ejecutar comandos de atacantes, instalación de herramientas para uso en ataques distribuidos de negación de servicio. Algunas herramientas tienen capacidades de auto-propagación y otras se difunden mediante el uso de técnicas de ingeniería social.

W32/Deloder es un código malicioso que explora el equipo infectado para ver si el puerto 445/tcp está a la escucha. Se copia en distintos lugares en el equipo infectado y modifica el Registry para ejecutar automáticamente el programa dvldr32.exe y realizar tareas de exploración de otros sistemas. Los archivos creados por Deloder pueden llevar el nombre de dvldr32.exe, inst.exe, psexec.exe, explorer.exe, omnithread_rt.dll, VNCHooks.dll, rundll32.exe y cygwin1.dll. GT-bot y sdbot son programas tipo IRC y son utilizados para controlar en forma remota a los sistemas comprometidos, explotando las comparticiones de Windows no protegidas en forma adecuada. W32/Slackor es un gusano que ataca comparticiones de archivos. Si en el equipo infectado, el puerto 445/tcp se identifica que está a la escucha, Slackor se conecta a un recurso compartido, se copia en el directorio C:\sp y se ejecuta, liberando  su carga explosiva que consiste de archivos como slacke-worm.exe, abc.bat, psexec.exe y main.exe. Contiene un  robot IRC que puede comprometer al equipo por el uso de comandos sin restricción y por la posibilidad de poder iniciar ataques de negación de servicio.

Las actividades de exploración de estas herramientas pueden generar altos volúmenes de tráfico 445/tcp, afectando el desempeño de los sistemas, incluso experimentar condiciones de negación de servicio.
RECOMENDACIONES: Desactivar o asegurar las comparticiones de archivos, siguiendo la política del privilegio mínimo y con procesos de autenticación con uso de passwords fuertes. Considerar el uso de firewalls para controlar qué computadoras pueden acceder a las comparticiones. Filtrar el tráfico de entrada y salida, incluso bloquear la conexión al puerto 445/tcp. Utilizar software antivirus y antitroyano, y mantenerlo actualizado. No ejecutar programas de origen desconocido.    «Inicio de Página»

CIBERATAQUE CON VIRUS APAGA UNA PARTE DE INTERNET. El 25 de enero de 2003, Internet sufrió un ataque que afectó a decenas de miles de servidores web, donde el mayor impacto lo fue la suspensión de los servicios de navegación WWW y de correo-e. El ataque tiene su origen en la acción de un virus tipo gusano llamado Slammer que se está propagando vía servidores Microsoft SQL, aprovechando múltiples vulnerabilidades relacionadas con el servicio de resolución de Microsoft SQL Server 2000 y Microsoft Desktop Engine (MSDE) 2000. Internet este día se volvió lento por la infección de Slammer, ya que éste genera tráfico masivo sobre Internet así como millones de pruebas UDP/IP. Con su acción, Slammer ha inhabilitado entre 150 mil y 200 mil servidores web además del funcionamiento de redes corporativas enteras. Slammer satura el tráfico IP utilizando el puerto 1434/udp, el puerto para el servicio de resolución de SQL. La actividad del gusano puede permitir que atacantes remotos puedan ejecutar código como el usuario SYSTEM en el sistema afectado. El atacante podría intentar escalar privilegios para obtener el acceso como Administrador del sistema afectado. Los expertos han dicho que Slammer no ha resultado tan dañino como el "Código Rojo" de julio del 2001. Slammer también es conocido como W32.SQLExp.Worm, DDOS.SQLP1434.A, y W32/SQLSlammer.
RECOMENDACIONES: Realizar análisis de vulnerabilidades. Instalar el parche provisto por Microsoft para enmendar la vulnerabilidad y bloquar el citado puerto 1434 para evitar que atacantes remotos exploten la vulnerabilidad. Filtrar la entrada y salida del tráfico de la red. Consulte el boletín del CERT para más información de la vulnerabilidad.       «Inicio de Página»