home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / ddn-security-9013 < prev    next >
Encoding:
Text File  |  1991-07-10  |  5.6 KB  |  130 lines
  1. ***********************************************************************
  2. DDN Security Bulletin 9013       DCA DDN Defense Communications System
  3. 13 NOV 90               Published by: DDN Security Coordination Center
  4.                                      (SCC@NIC.DDN.MIL)  (800) 235-3155
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9. The DDN  SECURITY BULLETIN  is distributed  by the  DDN SCC  (Security
  10. Coordination Center) under  DCA contract as  a means of  communicating
  11. information on network and host security exposures, fixes, &  concerns
  12. to security & management personnel at DDN facilities.  Back issues may
  13. be  obtained  via  FTP  (or  Kermit)  from  NIC.DDN.MIL  [192.67.67.20]
  14. using login="anonymous" and password="guest".  The bulletin pathname is
  15. SCC:DDN-SECURITY-yynn (where "yy" is the year the bulletin is issued
  16. and "nn" is a bulletin number, e.g. SCC:DDN-SECURITY-9001).
  17. **********************************************************************
  18.  
  19.               VAX/VMS Break-Ins
  20.  
  21. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  22. !                                                                       !
  23. !     The following important  advisory was  issued by the Computer     !
  24. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  25. !     via the Defense Communications Agency's Security Coordination     !
  26. !     Center  distribution  system  as a  means  of  providing  DDN     !
  27. !     subscribers with useful security information.                     !
  28. !                                                                       !
  29. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  30.  
  31.  
  32. CA-90:09                    CERT Advisory
  33.                           November 8, 1990
  34.               VAX/VMS Break-ins
  35.  
  36. DESCRIPTION:
  37.  
  38.      Several VAX/VMS systems are presently being subjected to
  39. intrusions by a persistent intruder(s).  The intruder utilizes DECnet,
  40. TCP/IP, and/or X25 access paths to gain unauthorized entry into
  41. accounts (privileged and non-privileged).  Once a privileged account
  42. is breached, the intruder disables auditing & accounting and installs
  43. a trojan horse image on the system.  In the most recent attacks, the
  44. intruder has installed the image VMSCRTL.EXE in SYS$LIBRARY.  (Note
  45. that VMSCRTL.EXE is not a vendor-supplied filename.) The command
  46. procedure DECW$INSTALL_LAT.COM is placed in SYS$STARTUP and installs
  47. the image.  Note that these images and command files are sufficiently
  48. camouflaged so as to appear to be valid VMS system files, even upon
  49. close inspection.
  50.  
  51.      There is no evidence that the intruder is exploiting any system 
  52. vulnerability to gain access to the affected systems.  The  intruder 
  53. uses valid username/password combinations to gain access to accounts.
  54. The intruder most likely obtains these username/password combinations 
  55. by systematically searching through text files on the user disks of 
  56. penetrated systems for clear-text username/password pairs.  These 
  57. username/password combinations are often valid on remote systems, 
  58. which allows the intruder to access them as well.  Once a privileged 
  59. account is accessed, the intruder will use the AUTHORIZE utility to 
  60. detect and exploit dormant accounts (especially dormant privileged 
  61. accounts).  The intruder has also assigned privileges to dormant 
  62. non-privileged accounts.
  63.  
  64.  
  65. IMPACT: 
  66.  
  67. Unauthorized users who gain privileged and/or non-privileged system
  68. access might deliberately or inadvertently affect the integrity of
  69. system information and/or affect the integrity of the computing
  70. resource.  
  71.  
  72.  
  73. SOLUTION:
  74.  
  75. The following steps are recommended for detecting whether systems at
  76. your site have been compromised:
  77.  
  78.      1.  Search for SYS$LIBRARY:VMSCRTL.EXE and
  79. SYS$STARTUP:DECW$INSTALL.COM.  (This can be done with the following
  80. DCL command: $ DIR device:[*...]/SINCE=date /MODIFIED).  Note that to
  81. call the command procedure which installs the image, the intruder will
  82. utilize SYSMAN to modify SYS$STARTUP:VMS$LAYERED.DAT.  Thus, there
  83. will be an unexplained modification to SYS$STARTUP:VMS$LAYERED.DAT.
  84. This may be the surest indication of an intrusion, since the intruder
  85. could easily change the names and locations of the trojan horse image
  86. and its accompanying command procedure.
  87.  
  88.      2.  If you discover that auditing or accounting has been disabled
  89. for a period of time, go into AUTHORIZE and ensure that no password or
  90. other changes were made during that time.  Password changes while
  91. auditing and accounting have been disabled may indicate unauthorized
  92. access into your system.
  93.  
  94.  
  95.      The following pre-emptive actions are suggested:
  96.  
  97.      1. DISUSER all dormant accounts, especially dormant privileged
  98. accounts.
  99.  
  100.      2. Advise all users of the security problems inherent in placing
  101. username/password combinations in text files.  Consider searching your
  102. user disks for such occurrences.
  103.  
  104.      3. Change all vendor-supplied default passwords (e.g., MAILER,
  105. DECNET, SYSTEM) and make sure all passwords are difficult to guess.
  106.  
  107.      4. Make sure that all privileged users have only the minimum
  108. privileges that are REQUIRED to perform their current tasks.
  109.  
  110.      5. Closely monitor all relevant audit trails.
  111.  
  112. -------------------------------------------------------------------------
  113.  
  114. Kenneth R. van Wyk
  115. Computer Emergency Response Team/Coordination Center (CERT/CC)
  116. Software Engineering Institute
  117. Carnegie Mellon University
  118. Pittsburgh, PA 15213-3890
  119.  
  120. Internet E-mail: cert@cert.sei.cmu.edu
  121. Telephone: 412-268-7090 24-hour hotline: CERT personnel answer
  122.            7:30a.m.-6:00p.m. EST, on call for
  123.            emergencies other hours.
  124.  
  125. Past advisories and other information are available for anonymous ftp
  126. from cert.sei.cmu.edu (128.237.253.5).
  127.  
  128.  
  129.  
  130.