Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: The Register

De FBI geeft een waarschuwing uit na een serie van hacks op Unix systemen. Een nieuwe worm, die de naam x.c draagt, werd al ontdekt, maar volgens de FBI levert die geen gevaar meer op. Wel blijft het gevaar voor andere code-varianten. Door gebruik te maken van een buffer overflow vulnerability in FreeBSD-afgeleide Telnet daemons, is het mogelijk dat een attacker root access krijgt tot het systeem. Deze daemons worden o.a. gebruikt in Solaris, AIX, HP-UX en een aantal linuxversies. Het zou eventueel ook mogelijk zijn dat ook andere Telnet daemons hier last van kunnen ondervinden. De exploit werd eind Juli ontdekt. Op deze site is er meer over te lezen en kan je patches er voor vinden.

Many of these organisations, such as the FBI's National Infrastructure Protection Centre, overplayed the destructive nature of the Code Red worm but that's not to say there isn't a problem here. The security loophole might allow an attacker to take control of a victim's system, and it is suspected as the root cause behind a number of recent hacks, so it's well worth reviewing the vulnerability.
Moderatie-faq Wijzig weergave

Reacties (36)

Het eerste wat je doet als je een zo'n systeem installeert is toch de telnetd afzetten ? :)
Nee, eerste wat je doet is een behoorlijke firewall maken en aanzetten. :P
Nee, eerste wat je doet is een behoorlijke firewall maken en aanzetten.
gaan we weer ...
je systeem hoort ook ZONDER firewall secure te zijn, een firewall is alleen een extra veiligheid, vertrouw ook NOOIT op een firewall alleen.

een goeie distro zal ook standaard geen telnet installeren.
een goeie distro zal ook standaard geen telnet installeren
Dat ben ik niet met je eens. Dan gaat de onwetende gebruiker alleen maar allerlei dingen opengooien net zolang totdat "zijn telnet het doet".

Een goede distro geeft je de keuze, liefst met toelichting over de mogelijke gevolgen.

Bij FreeBSD wordt de telnetd niet geactiveerd wanneer je kiest voor een "secure" installatie. Je hebt wel de keuze om een minder veilige (relatief gezien dan) installatie te doen waarbij telnetd wel wordt geactiveerd.

Overigens was op www.freebsd.org al heel lang een waarschuwing te zien voor deze bug, en ook een patch (die is gedateerd van 20 aug).
Nee, iedere (windows) PC in de wereld heeft wel een telnet client, niet iedere PC heeft een ssh client.
Telnet staat bij mij dus gewoon aan.
(ik gebruik het zelden, maar is wel eens handig)

Ik kreeg gisteren overigens netjes een mailtje van de suse-security mailing list, met een uitleg en een link naar een gepatchde telnet daemon/server.
als je vanaf een windows pc wil connecten met je thuis pc via telnet kan je dat netzogoed via ssh doen, want als een windows pc op je bak kan inloggen, kan hij netzogoed even putty oid downloaden om vervolgens via ssh in te loggen. wel zo veilig.
En als je op je bedrijf achter een firewall zit die alleen een telnet-proxy heeft?
Ik weet dat je met ssh over de http proxy kunt werken, maar als je dan elke 20 minuten eruit gedonderd wordt :( , is dat best irritant, de telnet proxy is daarentegen wel stabiel, en voor mij dus een redelijk alternatief (al had ik liever een ssh connectie gehad)
(Reactie op bras)
Probeer de SSH daemon op poort 23/53/443 te draaien, of doe een portscan op je eigen machine.

over de telnetd exploit: Deze exploit was allang bekend. Wanneer gaan ze ons waarschuwen voor Code Red? ;)
Je kan ook gewoon je SSH deamon via de telnet poort laten draaien (wel telnet deamon uit zetten). Moet je wel ff alle gebruikers waarschuwen. Maar dat maakt denk ik niet zoveel uit.
Putty is niet zo groot.
ff dit op je server zetten, is een SSH1/2 client als java applet, is gratis voor persoonlijk en niet-commercieel gebruik.

kan je overal waar je een browser met java hebt gewoon secure inloggen.
Het lek zit niet in de client, maar in de server! En die zit zeker niet in iedere windows PC. Probeer maar eens te telnetten naar je PC.
het zit zeker wel op bijna elke pc.. alleen staat het niet aan.
Nee man, dan kan je niet meer remote inloggen ook!!!

Beter een goeie firewall
Uit de team-teso tar.gz die ze op die page naar linkten:
Systems Affected
===================

System: vulnerable?, exploitable? *
BSDI 4.x default: yes, yes
FreeBSD [2345].x default: yes, yes
IRIX 6.5: yes, no
Linux netkit-telnetd < 0.14: yes, ?
Linux netkit-telnetd >= 0.14: no
NetBSD 1.x default: yes, yes
OpenBSD 2.x: yes, ?
OpenBSD current: no
Solaris 2.x sparc: yes, ?
<almost any other vendor's telnetd>: yes, ?

* = From our analysis and conclusions, which may not be correct or we mayhave overseen things. Do not rely on this.
Bij mijn Red Hat 6.2 Linux staat onderaan de man page voor telnetd: "Linux NetKit (0.16) December 29, 1996" dus het lijkt me onwaarschijnlijk dat er nog veel linuxen zullen zijn met een NetKit < 0.14? :z

\[edit: layout geprobeerd te verbeteren]
Leuk en aardig. Er staat in deze post alleen niet bij wat om een buffer overflow te genereren er wel eerst 16 Meg data naar die bak gestuurd moet worden. Wil hier even bij opmerken dat in dit tijdsbestek dat dit duurt er meestal wel een timeout optreedt en die persoon overnieuw kan beginnen. En over een Firewall hoef je het al helemaal niet te hebben. Dus tenzij je internetverbinding meer dan 16 Meg in een minuut aan kan denk ik niet dat er echt van een gevaar te spreken valt. Al kan het natuurlijk nooit kwaad om een patch te installeren.
Heb je ook een URL waar dat staat? Er staat nl niks over in de vele advisories.

In de FreeBSD advisory staat wel: "This vulnerability is known to be exploitable, and is being actively exploited in the wild."
Nope helaas geen URL, althans ik kan hem zo niet meteen vinden. Heb dat van een goede kennis. Dus voor 100% waar valt het niet aan te nemen, maar ik geloof het wel.
die 16 meg in de minuut is in een serverpark makkelijk te realiseren. |:( Dichtgooien dus
Voor machines die `echt' aan het internet hangen is dit wel degelijk een gevaar. Ons netwerk en aansluiting aan het internet laat snelheden van >1MB/s makkelijk toe. De exploit is overigens al redelijk lang bekend. Een nadeel was dat het nieuws in de zomervakantie uitkwam, en bij ons dus even aan de aandacht ontsnapt was. Gevolg: 8 gehackte machines.
Even een kleine correctie:

- Het is een vulnarability in de BSD-derived telnetd (en dus niet FreeBSD, dat is alleen maar de naam van een BSD distro)
Ja... maar kijk eens naar dat lijstje wat ik gepost had een stukje hierboven, bepaalde FreeBSD's zijn wel degelijk vulnerable...
mja, maar dat maakt het nog niet de FreeBSD derived telnetd :?
Oh sorry... ik begreep je verkeerd :)
Dacht dat je bedoelde dat je dacht van:
Ja, maar het gaat hier over BSD, niet FreeBSD... alsin dat is dus niet vulnerable... maar inderdaad... het staat blijkbaar een beetje fout in het stukje?

Sorry :Y)
Kan best kloppen hoor, als deze telnetd is geintroduceerd in FreeBSD i.p.v. BSD/OS. NetBSD is namelijk een FreeBSD fork (dacht ik tenminste) en OpenBSD is weer een NetBSD fork (dat weet ik wel zeker).
Dit is alleen een rootexploit als je telnetd draait als root. Distributies als debian draaien telnetd door de gebruiker 'telnetd' en lopen dus ook minder gevaar.
:7 ik zou idd Telnet uitschakelen. zo onveilig als maar kan :(

Maar op zich grappig om te horen dat ook lunix gevoelig is voor een wormpje :) Iedereen loopt over andere producten te zeuren, maar nu blijkt maar weer dat het met het veiligste pakket ook kan ;)
Het staat toch redelijk algemeen bekend dat telnet niet een van de veiligste services is op een unix-machine. Kijk maar in het eerste de beste linux-security document... Als een van de eerste stappen zul je het vervangen van telnetd door ssh tegenkomen!

\[off-topic] Waarom zie ik links bij produkten geheugen, moederborden en processoren? Dat heeft toch vrij weinig met een telnet exploit te maken lijkt me??? \[/off-topic]
sluikreclame noemen ze dat tegenwoordig ;)
Eh, Linux is niet het veiligste OS hoor, in ieder geval niet in de default install (van welke distro dan ook). Dat is OpenBSD...
Achja, ik draai ook geen telnet, ik draai SSH met Rhost RSA authification. Moet dus al het certificaat hebben om in te loggen, erg handig.

SSH vanaf internet gebruik ik niet, ik heb nog een andere machine ook op internet, die het certificaat al heeft dus log ik daar in en krijg dan het certificaat van die PC, vervolgens open ik een SSH connectie met Rhost RSA Authentification naar mn server thuis.
ik moet zeggen, dit werkt perfect :)
Hoe moet ik dat gaan hacken er staat nergen beschreven hoe je het moet doen alleen dat het kan :(
Dan moet je maar eens in wat bugtraq archives gaan spitten. Als je niet eens weet waar je dat soort info en exploits kan vinden zou ik er niet eens aan beginnen als ik jou was.
jij wil het zeker gaan proberen ofzo, bij een of andere grote website ;) Nou vergeet dat maar, er is niemand met een serieuze server die telnet aan heeft staan...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True