На многих FTP-сайтах
популярная утилита TCP Wrappers заменена фальшивой
программой, которая делает сети Unix уязвимыми.
Те администраторы Unix-систем, которые в
течение последних суток загрузили и установили у
себя популярное ПО администрирования TCP Wrappers,
могут открыть доступ хакерам к своим сетям, даже
не подозревая об этом. Официальные представители
организации Computer Emergency Response Team (СЕРТ) подтвердили,
что инструмент, предлагаемый бесплатно на многих
FTP-сайтах, на некоторых из них был заменен внешне
похожей на него программой, которая на самом деле
является троянским конем.
Нечто подобное должно было произойти
крупный скандал был лишь вопросом времени,
прокомментировал консультант по Unix-системам
Джефф Фрэнсис (Jeff Francis). TCP Wrappers применяютбуквально
все. Я установил его даже на свой домашний
компьютер.
После загрузки программы, когда
системный администратор начинает процесс
инсталляции, она незаметно отправляет
электронное сообщение по внешним адресам,
оповещая автора троянского коня об успешном
внедрении. Затем программа проверяет порт 421 на
наличие соединения, и когда оно установлено,
передает удаленному компьютеру
привилегированные права доступа, так что хакер
может делать на пораженной машине все, что
пожелает. В частности, фальшивая программа
отправляет хозяину информацию, полученную при
выполнении команд whoami и uname a.
По словам руководителя отделения CERT
Internet Response Джеффа Карпентера (Jeff Carpenter), ему не
известны действительно пострадавшие сети, тем не
менее, вследствие потенциальной опасности CERT
предприняла необычный шаг, поставив в
известность средства массовой информации. Это
очень популярная программа. Ее применяют многие
организации, так как она позволяет
администраторам точнее управлять доступом при
большей гибкости по сравнению со встроенными
средствами, пояснил Карпентер. По иронии
судьбы, TCP Wrappers служит именно для того, чтобы
контролировать и фильтровать обращения к
сетевым службам Unix извне.
Представители CERT сообщили, что, по
крайней мере, 52 FTP-сайта загрузили зараженные
копии TCP Wrappers, хотя на самом деле их число,
вероятно, гораздо больше, так как многие из них
имеют зеркала. Иными словами, копии троянского
коня распространяются множеством FTP-серверов.
Под подозрение попадает любая версия TCP Wrappers 7.6,
загруженная в виде файла tcp_wrappers_7.6.tar.gz. Возможно,
что на ряде FTP-серверов троянский конь
присутствует с 6 час. 16 мин. по Гринвичу 21 января
1999 года.
Чистую копию TCP Wrappers можно получить в CERT по
адресу: ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz
1999
