Sendmail ospita un cavallo di Troia

Il CERT avvisa che in alcune copie del popolare mail-server open source, Sendmail, è stato inoculato del codice malevolo capace di aprire backdoor e minare la sicurezza del server. Agire subito per evitare sorprese. I dettagli
Il CERT avvisa che in alcune copie del popolare mail-server open source, Sendmail, è stato inoculato del codice malevolo capace di aprire backdoor e minare la sicurezza del server. Agire subito per evitare sorprese. I dettagli


Roma – L’allarme è stato lanciato dal CERT/CC (Computer Emergency Response Team Coordination Center) che nel bollettino di sicurezza CA-2002-28 afferma di aver avuto conferma della scoperta, in alcune copie dei codici sorgenti del ben noto e assai diffuso mail-server open source Sendmail, di un pericoloso cavallo di Troia.

I file modificati e contenenti il codice malevolo sono quelli relativi alla versione 8.12.6 di Sendmail. Il CERT sostiene che questi file sono apparsi sul sito FTP di sendmail.org il giorno 28 settembre. Il team di Sendmail ha disattivato il server compromesso soltanto una settimana dopo, e per la precisione il 6 ottobre scorso.

Secondo quanto riporta il CERT, pare che le copie distribuite attraverso i server HTTP non siano state modificate: in ogni caso gli esperti di sicurezza raccomandano prudenza e suggeriscono agli amministratori di verificare che la firma PGP contenuta nei pacchetti in loro possesso sia integra (per verificarlo, il CERT fornisce queste istruzioni ).

Il cavallo di Troia contenuto nelle versioni compromesse di Sendmail viene eseguito durante il processo di installazione del software ed è in grado di aprire una backdoor sulla porta 6667/tcp: attraverso questo varco un intruso può lanciare una shell sul sistema remoto che giri con gli stessi diritti dell’utente che ha compilato il codice del software. In soldoni, un aggressore potrebbe sfruttare la backdoor per guadagnare l’accesso al server remoto con gli stessi privilegi dell’utente che ha compilato Sendmail.

Il CERT sottolinea che ad essere compromessa non è la sicurezza del server su cui gira il demone di Sendmail, ma quello su cui Sendmail è stato compilato (che, in ogni caso, spesso coincidono).

La soluzione temporanea è quella di filtrare, con un firewall, la porta 6667, mentre quella definitiva è riscaricare e ricompilare Sendmail.

L’incidente ricorda da vicino un episodio analogo che alla fine di luglio interessò OpenSSH: anche in questo caso in alcuni file modificati della distribuzione del noto software open source venne scoperta la presenza di un cavallo di Troia.

Link copiato negli appunti

Ti potrebbe interessare

09 10 2002
Link copiato negli appunti