Lion, più pericoloso di Ramen

Come il suo predecessore, Ramen, Lion colpisce i server Linux vulnerabili ad una nota falla di Bind e vi si installa sottraendo password e seminando nel sistema vittima porte d'accesso abusive. Nessuna cura ancora disponibile
Come il suo predecessore, Ramen, Lion colpisce i server Linux vulnerabili ad una nota falla di Bind e vi si installa sottraendo password e seminando nel sistema vittima porte d'accesso abusive. Nessuna cura ancora disponibile


Web – A far scattare l’allarme rosso questa volta è “Lion”, un worm che pare abbia molte parentele con Ramen , un vermicello per Linux che qualche tempo fa ha conosciuto una diffusione senza precedenti .

Secondo l’istituto di ricerca “The System Administration, Networking and Security” (SANS), questo worm rappresenta la mutazione più pericolosa di Ramen, in grado di diffondersi ad una velocità definita “preoccupante” e capace di sottrarre i file delle password dai server “infetti”.

Lion sfrutta la famigerata falla di sicurezza “TSIG” del server BIND venuta alla luce lo scorso gennaio: questo gli consentirebbe di guadagnare i massimi privilegi sulla macchina vittima e sottrarre le password di sistema inviandole, nella loro forma criptata, ad un sotto-dominio di China.com.

Risulta chiaro come gli autori del worm possano tentare di decrittare i file delle password e guadagnare accesso sui server “bucati”. Oltre a questo, i cracker potrebbero avvalersi di backdoor, ossia di accessi abusivi, che Lion tenta di creare una volta installatosi all’interno di un server.


Alan Paller, direttore ricerche presso il SANS, stima che “circa il 20% di Internet” sia vulnerabile a Lion, una percentuale che definisce “enorme” rispetto al numero di server BIND installati nel mondo.

Al momento, l’unico rimedio per tenere lontano il vermicello sembra quello di aggiornare i server BIND ad una versione non vulnerabile oppure installare la patch disponibile da mesi presso l’ Internet Software Consortium .

Alcuni produttori di antivirus, insieme agli esperti di SecurityFocus.com, hanno però tacciato il SANS di allarmismo: secondo loro il pericolo esiste, ma non sarebbe di tale gravità.

Elias Levy, CTO di SecurityFocus.com, afferma: “Per quanto mi è dato sapere nessuno ha ancora segnalato l’apertura di brecce a seguito di un attacco. Gli utenti colpiti da Lion ci hanno semplicemente fatto notare che il worm li ha infettati e che stanno cercando di sbarazzarsene”.

Il SANS però si difende sostenendo che la pericolosità di Lion è elevata proprio perché al momento non esistono metodi per eliminarlo con sicurezza dal sistema senza rischiare di creare danni più gravi di quelli generati dallo stesso worm.

Paller ha addirittura affermato: “Non pensiamo che un sistema infetto possa essere ripulito”: in poche parole l’unico sistema sicuro per rimuovere Lion, al momento, sembra quello di cancellare l’hard disk, reinstallare il sistema operativo e ripristinare una copia di backup precedente all’infezione. Paller teme inoltre che Lion possa essere modificato in modo molto semplice per colpire anche i server Unix.

Il SANS ha già messo a punto un programmino, Lionfind in grado di determinare la presenza di Lion all’interno di un sistema Linux.


Il worm Lion si diffonde attraverso un programma di nome “randb”: questo scandisce la Rete alla ricerca di server BIND vulnerabili e, una volta trovatone uno, vi si trasferisce utilizzando un exploit chiamato “name”. Una volta dentro, Lion installa un rootkit di nome “t0rn” che lo nasconde agli occhi dell’amministratore di sistema: t0rn sostituisce diversi file binari fra cui “find”, “ls” e “in.telnetd”, e cancella le proprie tracce dai file di log.

Una volta a “proprio agio” il vermicello spedisce il contenuto dei file delle password “/etc/passwd” e “/etc/shadow” ad un certo indirizzo Web, cancellando poi il file “/etc/hosts.deny” per indebolire la sicurezza del sistema.

Il worm piazza poi delle backdoor di tipo “root shell” nelle porte 60008/tcp e 33567/tcp (attraverso inetd) e installa un cavallo di Troia nel server SSH in ascolto sulla porta 33568/tcp ed uno per il login. Ciliegina sulla torta, Lion si preoccupa di cancellare il demone Syslogd, così che nessun accesso al sistema venga più registrato.

Link copiato negli appunti

Ti potrebbe interessare

25 03 2001
Link copiato negli appunti