home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-91:18.Active.Internet.tftp.Attacks < prev    next >
Encoding:
Text File  |  1991-09-26  |  3.2 KB  |  78 lines
  1. ===========================================================================
  2. CA-91:18                        CERT Advisory
  3.                               September 27, 1991
  4.                          Active Internet tftp Attacks
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) would
  9. like to alert you to automated tftp probes that have been occurring over
  10. the last few days.  These probes have attacked Internet sites throughout 
  11. the world and in most cases the file retrieved was /etc/passwd.  However, 
  12. other files such as /etc/rc may have been retrieved. 
  13.  
  14. The CERT/CC is working with the site(s) that were used by intruders
  15. to launch the attacks.  We are actively contacting those sites where we
  16. believe the retrievals were successful.  We are urging all sites to 
  17. carefully check their system configurations concerning tftp usage.
  18.  
  19. ---------------------------------------------------------------------------
  20.  
  21. I.   Description
  22.  
  23.      Unrestricted tftp access allows remote sites to retrieve
  24.      a copy of any world-readable file.
  25.  
  26. II.  Impact
  27.  
  28.      Anyone on the Internet can use tftp to retrieve copies of a
  29.      site's sensitive files.  For example, the recent incident
  30.      involved retrieving /etc/passwd.  The intruder can later
  31.      crack the password file and use the information to login 
  32.      to the accounts.  This method may provide access to the 
  33.      root account.
  34.  
  35. III. Solution
  36.         
  37.      A.  Sites that do not need tftp should disable it immediately by
  38.      editing the system configuration file to comment out, or remove,
  39.      the line for tftpd.  This file may be /etc/inetd.conf, /etc/servers,
  40.      or another file depending on your operating system.  To cause 
  41.      the change to be effective, it will be necessary to restart
  42.      inetd or force inetd to read the updated configuration file.
  43.  
  44.      B.  Sites that must use tftp (for example, for booting diskless
  45.      clients) should configure it such that the home directory is changed.  
  46.      Example lines from /etc/inetd.conf might look like:
  47.  
  48.      ULTRIX 4.0
  49.      tftp   dgram  udp  nowait  /etc/tftpd  tftpd -r /tftpboot
  50.  
  51.      SunOS 4.1
  52.      tftp   dgram  udp  wait  root  /usr/etc/in.tftpd in.tftpd -s /tftpboot
  53.  
  54.      As in item A. above, inetd must be restarted or forced to read 
  55.      the updated configuration file to make the change effective.
  56.  
  57.      C.  If your system has had tftp configured as unrestricted, the CERT/CC
  58.      urges you to consider taking one of the steps outlined above and
  59.      change all the passwords on your system.
  60.  
  61. ---------------------------------------------------------------------------
  62.  
  63. If you believe that your system has been compromised, contact CERT/CC via
  64. telephone or e-mail.
  65.  
  66. Computer Emergency Response Team/Coordination Center (CERT/CC)
  67. Software Engineering Institute
  68. Carnegie Mellon University
  69. Pittsburgh, PA 15213-3890
  70.  
  71. Internet E-mail: cert@cert.sei.cmu.edu
  72. Telephone: 412-268-7090 24-hour hotline:
  73.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EST/EDT,
  74.            on call for emergencies during other hours.
  75.  
  76. Past advisories and other computer security related information are available
  77. for anonymous ftp from the cert.sei.cmu.edu (192.88.209.5) system.
  78.