Un gusano para Sun Solaris

No deja de ser curioso que haya por ahí dando vueltas una pieza de malware orientada … a Solaris :)

El gusano es absolutamente anecdótico, no sólo por el escaso impacto registrado hasta el momento, sino por lo poco que se puede esperar de programar un gusano de esta índole, ya que deben ser realmente pocas las máquinas expuestas a tráfico agreste con el demonio de Telnet en funcionamiento. Además, el puerto 23 es un clásico para acciones deny en los Firewalls, lo que mitiga la criticidad de la vulnerabilidad.

El quid de la cuestión radica en una vulnerabilidad para Solaris 10, aprovechada por algún usuario con ganas de experimentar, y que ha liberado en la red a modo de prueba de concepto. Este problema de seguridad podría permitir que el gusano consiga pasar a través del servicio de autenticación Telnet, lo que finalmente podría suponer un riesgo moderadamente crítico para la seguridad de la plataforma.

Si tienes una máquina Solaris 10, puedes desactivar el servicio. Para ello:

svcadm disable svc:/network/telnet:default

Otro factor mitigante ya lo tratamos aquí en nuestra serie de auditoría UNIX. Se trata de forzar a los logueos en consola, impidiendo los accesos remotos. Para ello debe añadirse o descomentarse la línea /etc/default/login:

CONSOLE=/dev/console

Por último, si necesitas tener Telnet operando (medida desaconsejable donde las haya), debes parchear. Más vale prevenir que curar.

En los blogs de Sun dan todos los detalles sobre este ensayo desde el punto de vista de la mitigación del riesgo. Tenéis detalles técnicos en Arbor, el servicio de seguridad de José Nazario, y en este advisory de Secunia.

Saludos :)