home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / ddn-security-9318 < prev    next >
Encoding:
Text File  |  1993-09-30  |  16.4 KB  |  334 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9318                  DISA Defense Communications System
  4. September 30, 1993            Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9302).
  18. **************************************************************************
  19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  20. !                                                                       !
  21. !     The following important  advisory was  issued by the Computer     !
  22. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  23. !     via the Defense Information Systems Agency's Security             !
  24. !     Coordination Center  distribution  system  as a  means  of        !
  25. !     providing  DDN subscribers with useful security information.      !
  26. !                                                                       !
  27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  28.  
  29. Below Incident Advisory is provided by Department of Energy, CIAC Team.
  30.  
  31. ========================================================================
  32.  
  33. DISTRIBUTION RESTRICTIONS: NONE -- PUBLIC RELEASE
  34.  
  35.           _____________________________________________________
  36.                The Computer Incident Advisory Capability
  37.                           ___  __ __    _     ___
  38.                          /       |     / \   /
  39.                          \___  __|__  /___\  \___
  40.           _____________________________________________________
  41.  
  42.                               ADVISORY NOTICE
  43.  
  44.               Automated Scanning of Network Vulnerabilities
  45.  
  46. September 30, 1993 1000 PDT                                    Number D-25
  47. __________________________________________________________________________
  48. PROBLEM:   Automated attacks on networked computers.
  49. PLATFORM:  All systems supporting TCP/IP networking.
  50. DAMAGE:    Unauthorized access to information and computer resources.
  51. SOLUTION:  Examine machines for vulnerabilities detailed below and apply
  52.            fixes as needed.
  53. __________________________________________________________________________
  54.     
  55.      Critical Information about Automated Network Scanning Software
  56.  
  57. CIAC has learned that software allowing automated scanning of networked
  58. computers for security vulnerabilities was recently made publicly
  59. available on the Internet.  The software package, known as ISS or Internet
  60. Security Scanner, will interrogate all computers within a specified IP
  61. address range, determining the security posture of each with respect to
  62. several common system vulnerabilities.  The software was designed as a
  63. security tool for system and network administrators.  However, given its
  64. wide distribution and ability to scan remote networks, CIAC feels that it
  65. is likely ISS will also be used to locate vulnerable hosts for malicious
  66. reasons.
  67.  
  68. While none of the vulnerabilities ISS checks for are new, their
  69. aggregation into a widely available automated tool represents a higher
  70. level of threat to networked machines.  CIAC has analyzed the operation of
  71. the program and strongly recommends that administrators take this
  72. opportunity to re-examine systems for the vulnerabilities described below.
  73. Also detailed below are available security tools that may assist in the
  74. detection and prevention of malicious use of ISS.  Finally, common
  75. symptoms of an ISS attack are outlined to allow detection of malicious
  76. use.
  77.  
  78.  
  79. ISS Vulnerabilities
  80. -------------------
  81.  
  82. The following vulnerabilities are tested for by the ISS tool.
  83. Administrators should verify the state of their systems and perform
  84. corrective actions as indicated.
  85.  
  86. Default Accounts   The accounts "guest" and "bbs", if they exist, should
  87.                    have non-trivial passwords.  If login access to these
  88.                    accounts is not needed, they should be disabled by
  89.                    placing a "*" in the password field and the string
  90.                    "/bin/false" in the shell field in /etc/passwd.  See
  91.                    the system manual entry for "passwd" for more
  92.                    information on changing passwords and disabling
  93.                    accounts.
  94.  
  95.                    For example, the /etc/passwd entry for a disabled guest
  96.                    account should resemble the following:
  97.  
  98.                    guest:*:2311:50:Guest User:/home/guest:/bin/false
  99.  
  100. lp Account         The account "lp", if it exists, should not allow logins.
  101.                    It should be disabled by placing a "*" in the password
  102.                    field and the string "/bin/false" in the shell field in
  103.                    /etc/passwd.
  104.  
  105. Decode Alias       Mail aliases for decode and uudecode should be disabled
  106.                    on UNIX systems.  If the file /etc/aliases contains
  107.                    entries for these programs, they should be disabled by
  108.                    placing a "#" at the beginning of the line and then
  109.                    executing the command "newaliases".  Consult the manual
  110.                    page for "aliases" for more information on UNIX mail
  111.                    aliases.
  112.  
  113.                    A disabled decode alias should appear as follows:
  114.  
  115.                    # decode: "|/usr/bin/uudecode"
  116.  
  117. Sendmail           The sendmail commands "wiz" and "debug" should be 
  118.                    disabled.  This may be verified by executing the 
  119.                    following commands:
  120.  
  121.                    % telnet hostname 25
  122.                    220 host Sendmail 5.65 ready at Wed, 29 Sep 93 20:28:46 PDT
  123.                    wiz
  124.                    You wascal wabbit!  Wandering wizards won't win!
  125.                    (or 500 Command unrecognized)
  126.                    quit
  127.  
  128.                    % telnet hostname 25
  129.                    220 host Sendmail 5.65 ready at Wed, 29 Sep 93 20:28:46 PDT
  130.                    debug
  131.                    500 Command unrecognized
  132.                    quit
  133.  
  134.                    If the "wiz" command returns "Please pass, oh mighty
  135.                    wizard", your system is vulnerable to attack.  The
  136.                    command should be disabled by adding a line to the
  137.                    sendmail.cf configuration file containing the string:
  138.  
  139.                    OW*
  140.  
  141.                    If the "debug" command responds with the string
  142.                    "200 Debug set", you should immediately obtain a newer
  143.                    version of sendmail software from your vendor.
  144.  
  145. Anonymous FTP      Anonymous FTP allows users without accounts to have
  146.                    restricted access to certain directories on the system.
  147.                    The availability of anonymous FTP on a given system may
  148.                    be determined by executing the following commands:
  149.  
  150.                    % ftp hostname
  151.                    Connected to hostname.
  152.                    220 host FTP server ready.
  153.                    Name (localhost:jdoe): anonymous
  154.                    530 User anonymous unknown.
  155.                    Login failed.
  156.  
  157.                    The above results indicate that anonymous FTP is not
  158.                    enabled.  If the system instead replies with the
  159.                    string "331 Guest login ok" and then prompts for a 
  160.                    password, anonymous FTP access is enabled.
  161.  
  162.                    The configuration of systems allowing anonymous FTP
  163.                    should be checked carefully, as improperly configured
  164.                    FTP servers are frequently attacked.  Refer to CIAC
  165.                    Bulletin D-19 for more information.
  166.  
  167. NIS                SunOS 4.x machines using NIS are vulnerable unless the
  168.                    patch 100482 has been installed.  See CIAC Bulletin
  169.                    C-25 for more information regarding this patch.
  170.  
  171. NFS                Filesystems exported under NFS should be mountable only
  172.                    by a restricted set of hosts.  The UNIX "showmount"
  173.                    command will display the filesystems exported by a given
  174.                    host:
  175.  
  176.                    % /usr/etc/showmount -e hostname
  177.                    export list for hostname:
  178.                    /usr          hosta:hostb:hostc
  179.                    /usr/local    (everyone)
  180.  
  181.                    The above output indicates that this NFS server is
  182.                    exporting two partitions: /usr, which can be mounted by
  183.                    hosta, hostb, and hostc; and /usr/local which can be
  184.                    mounted by anyone.  In this case, access to the
  185.                    /usr/local partition should be restricted.  Consult the
  186.                    system manual entry for "exports" or "NFS" for more
  187.                    information.
  188.  
  189. rusers             The UNIX rusers command displays information about
  190.                    accounts currently active on a remote system.  This may
  191.                    provide an attacker with account names or other
  192.                    information useful in mounting an attack.  To check for
  193.                    the availability of rusers information on a particular
  194.                    machine, execute the following command:
  195.  
  196.                    % rusers -l hostname
  197.                    hostname: RPC: Program not registered
  198.  
  199.                    If the above example had instead generated a list of
  200.                    user names and login information, a rusers server is
  201.                    running on the host.  The server may be disabled by
  202.                    placing a "#" at the beginning of the appropriate line
  203.                    in the file /etc/inetd.conf and then sending the SIGHUP
  204.                    signal to the inetd process.  For example, a disabled
  205.                    rusers entry might appear as follows:
  206.  
  207.                    #rusersd/2 dgram rpc/udp wait root /usr/etc/rusersd rusersd
  208.  
  209. rexd               The UNIX remote execution server rexd provides only
  210.                    minimal authentication and is easily subverted.  It
  211.                    should be disabled by placing a "#" at the beginning of
  212.                    the rexd line in the file /etc/inetd.conf and then
  213.                    sending the SIGHUP signal to the inetd process.  The
  214.                    disabled entry should resemble the following:
  215.  
  216.                    #rexd/1 stream rpc/tcp wait root /usr/etc/rexd rexd
  217.  
  218. Available Tools
  219. ---------------
  220.  
  221. There are several available security tools that may be used to prevent or
  222. detect malicious use of ISS.  They include the following:
  223.  
  224. SPI                SPI, the Security Profile Inspector, will detect the
  225.                    system vulnerabilities described above, as well as many
  226.                    others.  U.S. Government agencies interested in 
  227.                    obtaining SPI should send E-mail to spi@cheetah.llnl.gov
  228.                    or call (510) 422-3881 for more information.
  229.  
  230. COPS               The COPS security tool will also detect the
  231.                    vulnerabilities described above.  It is available via
  232.                    anonymous FTP from ftp.cert.org in the directory
  233.                    /pub/tools/cops/1.04.
  234.  
  235. ISS                Running ISS on your systems will provide you with the
  236.                    same information an attacker would obtain, allowing you
  237.                    to correct vulnerabilities before they can be exploited.
  238.                    Note that the current version of the software is known
  239.                    to function poorly on some operating systems.  If you
  240.                    should have difficulty using the software, please contact
  241.                    CIAC for assistance.  ISS may be obtained via anonymous
  242.                    FTP from ftp.uu.net in the directory 
  243.                    /usenet/comp.sources.misc/volume39/iss.
  244.  
  245. TCP Wrappers       Access to most UNIX network services can be more closely
  246.                    controlled using software known as a TCP wrapper.  The
  247.                    wrapper provides additional access control and flexible
  248.                    logging features that may assist in both the prevention
  249.                    and detection of network attacks.  This software is
  250.                    available via anonymous FTP from ftp.win.tue.nl in the
  251.                    file /pub/security/tcp_wrappers_6.0.shar.Z
  252.  
  253.  
  254. Detecting an ISS Attack
  255. -----------------------
  256.  
  257. Given the wide distribution of the ISS tool, CIAC feels that remote
  258. attacks are likely to occur.  Such attacks can cause system warnings to be
  259. generated that may prove useful in tracking down the source of the attack.
  260. The most probable indicator of an ISS attack is a mail message sent to
  261. "postmaster" on the scanned system similar to the following:
  262.  
  263.     From: Mailer-Daemon@hostname (Mail Delivery Subsystem)
  264.     Subject: Returned mail: Unable to deliver mail
  265.     Message-Id: <9309291633.AB04591@>
  266.     To: Postmaster@hostname
  267.  
  268.        ----- Transcript of session follows -----
  269.     <<< VRFY guest
  270.     550 guest... User unknown
  271.     <<< VRFY decode
  272.     550 decode... User unknown
  273.     <<< VRFY bbs
  274.     550 bbs... User unknown
  275.     <<< VRFY lp
  276.     550 lp... User unknown
  277.     <<< VRFY uudecode
  278.     550 uudecode... User unknown
  279.     <<< wiz
  280.     500 Command unrecognized
  281.     <<< debug
  282.     500 Command unrecognized
  283.     421 Lost input channel to remote.machine
  284.  
  285.        ----- No message was collected -----
  286.  
  287. If you should receive such a message, it is likely that your machine and
  288. others on your network have been scanned for vulnerabilities.  You should
  289. immediately contact your computer security officer or CIAC for assistance
  290. in assessing the damage and taking corrective action.
  291.  
  292.  
  293. For additional information or assistance, please contact CIAC at 
  294. (510) 423-9878 or send E-mail to ciac@llnl.gov. FAX messages to
  295. (510) 423-8002.
  296.  
  297. PLEASE NOTE: Many users outside of the DOE and ESnet computing communities
  298. receive CIAC bulletins.  If you are not part of these communities, please
  299. contact your agency's response team to report incidents.  Your agency's team
  300. will coordinate with CIAC.  The Forum of Incident Response and Security Teams
  301. (FIRST) is a world-wide organization.  A list of FIRST member organizations
  302. and their constituencies can be obtained by sending email to
  303. docserver@first.org with an empty subject line and a message body containing
  304. the line: send first-contacts.
  305.  
  306. This document was prepared as an account of work sponsored by an agency of
  307. the United States Government.  Neither the United States Government nor the
  308. University of California nor any of their employees, makes any warranty,
  309. expressed or implied, or assumes any legal liability or responsibility for
  310. the accuracy, completeness, or usefulness of any information, product, or
  311. process disclosed, or represents that its use would not infringe privately
  312. owned rights.  Reference herein to any specific commercial products, process,
  313. or service by trade name, trademark manufacturer, or otherwise, does not
  314. necessarily constitute or imply its endorsement, recommendation, or favoring
  315. by the United States Government or the University of California.  The views
  316. and opinions of authors expressed herein do not necessarily state or reflect
  317. those of the United States Government nor the University of California, and
  318. shall not be used for advertising or product endorsement purposes.
  319.  
  320.  
  321. ****************************************************************************
  322. *                                                                          *
  323. *    The point of contact for MILNET security-related incidents is the     *
  324. *    Security Coordination Center (SCC).                                   *
  325. *                                                                          *
  326. *               E-mail address: SCC@NIC.DDN.MIL                            *
  327. *                                                                          *
  328. *               Telephone: 1-(800)-365-3642                                *
  329. *                                                                          *
  330. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  331. *    Monday through Friday except on federal holidays.                     *
  332. *                                                                          *
  333. ****************************************************************************
  334.