FBI waarschuwt voor Unix Telnet exploit

De FBI geeft een waarschuwing uit na een serie van hacks op Unix systemen. Een nieuwe worm, die de naam x.c draagt, werd al ontdekt, maar volgens de FBI levert die geen gevaar meer op. Wel blijft het gevaar voor andere code-varianten. Door gebruik te maken van een buffer overflow vulnerability in FreeBSD-afgeleide Telnet daemons, is het mogelijk dat een attacker root access krijgt tot het systeem. Deze daemons worden o.a. gebruikt in Solaris, AIX, HP-UX en een aantal linuxversies. Het zou eventueel ook mogelijk zijn dat ook andere Telnet daemons hier last van kunnen ondervinden. De exploit werd eind Juli ontdekt. Op deze site is er meer over te lezen en kan je patches er voor vinden.

Many of these organisations, such as the FBI's National Infrastructure Protection Centre, overplayed the destructive nature of the Code Red worm but that's not to say there isn't a problem here. The security loophole might allow an attacker to take control of a victim's system, and it is suspected as the root cause behind a number of recent hacks, so it's well worth reviewing the vulnerability.

Door Cyril Roos

Nieuwsposter

Feedback • 04-09-2001 07:16 36

04-09-2001 • 07:16

36

Bron: The Register

Lees meer

Linux-worm vermenigvuldigt zich door lek XML-RPC
Linux-worm vermenigvuldigt zich door lek XML-RPC Nieuws van 9 november 2005
Veiligheidsprobleem met Telnet Windows 2000
Veiligheidsprobleem met Telnet Windows 2000 Nieuws van 11 februari 2002
Voyager Alpha Force bedreigt webservers
Voyager Alpha Force bedreigt webservers Nieuws van 23 november 2001
AnandTech over Linux
AnandTech over Linux Nieuws van 25 oktober 2001
Meer producten en artikelen
Software

Reacties (36)

-Moderatie-faq
36
34
27
12
3
0
Wijzig sortering
Verwijderd 4 september 2001 07:20
Het eerste wat je doet als je een zo'n systeem installeert is toch de telnetd afzetten ? :)
wouzer @Verwijderd4 september 2001 07:22
Nee, eerste wat je doet is een behoorlijke firewall maken en aanzetten. :P
Aaargh! @wouzer4 september 2001 17:18
Nee, eerste wat je doet is een behoorlijke firewall maken en aanzetten.
gaan we weer ...
je systeem hoort ook ZONDER firewall secure te zijn, een firewall is alleen een extra veiligheid, vertrouw ook NOOIT op een firewall alleen.

een goeie distro zal ook standaard geen telnet installeren.
iceblink @Aaargh!5 september 2001 00:39
een goeie distro zal ook standaard geen telnet installeren
Dat ben ik niet met je eens. Dan gaat de onwetende gebruiker alleen maar allerlei dingen opengooien net zolang totdat "zijn telnet het doet".

Een goede distro geeft je de keuze, liefst met toelichting over de mogelijke gevolgen.

Bij FreeBSD wordt de telnetd niet geactiveerd wanneer je kiest voor een "secure" installatie. Je hebt wel de keuze om een minder veilige (relatief gezien dan) installatie te doen waarbij telnetd wel wordt geactiveerd.

Overigens was op www.freebsd.org al heel lang een waarschuwing te zien voor deze bug, en ook een patch (die is gedateerd van 20 aug).
SambalBij @Verwijderd4 september 2001 08:19
Nee, iedere (windows) PC in de wereld heeft wel een telnet client, niet iedere PC heeft een ssh client.
Telnet staat bij mij dus gewoon aan.
(ik gebruik het zelden, maar is wel eens handig)

Ik kreeg gisteren overigens netjes een mailtje van de suse-security mailing list, met een uitleg en een link naar een gepatchde telnet daemon/server.
Scorpion @SambalBij4 september 2001 08:41
als je vanaf een windows pc wil connecten met je thuis pc via telnet kan je dat netzogoed via ssh doen, want als een windows pc op je bak kan inloggen, kan hij netzogoed even putty oid downloaden om vervolgens via ssh in te loggen. wel zo veilig.
bras @Scorpion4 september 2001 09:49
En als je op je bedrijf achter een firewall zit die alleen een telnet-proxy heeft?
Ik weet dat je met ssh over de http proxy kunt werken, maar als je dan elke 20 minuten eruit gedonderd wordt :( , is dat best irritant, de telnet proxy is daarentegen wel stabiel, en voor mij dus een redelijk alternatief (al had ik liever een ssh connectie gehad)
bkor @Scorpion4 september 2001 10:17
(Reactie op bras)
Probeer de SSH daemon op poort 23/53/443 te draaien, of doe een portscan op je eigen machine.

over de telnetd exploit: Deze exploit was allang bekend. Wanneer gaan ze ons waarschuwen voor Code Red? ;)
Liqued @Scorpion4 september 2001 15:45
Je kan ook gewoon je SSH deamon via de telnet poort laten draaien (wel telnet deamon uit zetten). Moet je wel ff alle gebruikers waarschuwen. Maar dat maakt denk ik niet zoveel uit.
jkf @SambalBij4 september 2001 08:32
Putty is niet zo groot.
Aaargh! @SambalBij4 september 2001 17:22
ff dit op je server zetten, is een SSH1/2 client als java applet, is gratis voor persoonlijk en niet-commercieel gebruik.

kan je overal waar je een browser met java hebt gewoon secure inloggen.
JeroenE @SambalBij4 september 2001 08:33
Het lek zit niet in de client, maar in de server! En die zit zeker niet in iedere windows PC. Probeer maar eens te telnetten naar je PC.
Liqued @JeroenE4 september 2001 15:43
het zit zeker wel op bijna elke pc.. alleen staat het niet aan.
Verwijderd @Verwijderd4 september 2001 10:45
Nee man, dan kan je niet meer remote inloggen ook!!!

Beter een goeie firewall
Squee 4 september 2001 10:29
Uit de team-teso tar.gz die ze op die page naar linkten:
Systems Affected
===================

System: vulnerable?, exploitable? *
BSDI 4.x default: yes, yes
FreeBSD [2345].x default: yes, yes
IRIX 6.5: yes, no
Linux netkit-telnetd < 0.14: yes, ?
Linux netkit-telnetd >= 0.14: no
NetBSD 1.x default: yes, yes
OpenBSD 2.x: yes, ?
OpenBSD current: no
Solaris 2.x sparc: yes, ?
<almost any other vendor's telnetd>: yes, ?

* = From our analysis and conclusions, which may not be correct or we mayhave overseen things. Do not rely on this.
Bij mijn Red Hat 6.2 Linux staat onderaan de man page voor telnetd: "Linux NetKit (0.16) December 29, 1996" dus het lijkt me onwaarschijnlijk dat er nog veel linuxen zullen zijn met een NetKit < 0.14? :z

[edit: layout geprobeerd te verbeteren]
kalizec 4 september 2001 08:25
Leuk en aardig. Er staat in deze post alleen niet bij wat om een buffer overflow te genereren er wel eerst 16 Meg data naar die bak gestuurd moet worden. Wil hier even bij opmerken dat in dit tijdsbestek dat dit duurt er meestal wel een timeout optreedt en die persoon overnieuw kan beginnen. En over een Firewall hoef je het al helemaal niet te hebben. Dus tenzij je internetverbinding meer dan 16 Meg in een minuut aan kan denk ik niet dat er echt van een gevaar te spreken valt. Al kan het natuurlijk nooit kwaad om een patch te installeren.
Verwijderd @kalizec4 september 2001 08:49
Heb je ook een URL waar dat staat? Er staat nl niks over in de vele advisories.

In de FreeBSD advisory staat wel: "This vulnerability is known to be exploitable, and is being actively exploited in the wild."
kalizec @Verwijderd4 september 2001 08:56
Nope helaas geen URL, althans ik kan hem zo niet meteen vinden. Heb dat van een goede kennis. Dus voor 100% waar valt het niet aan te nemen, maar ik geloof het wel.
DiedX @kalizec4 september 2001 08:51
die 16 meg in de minuut is in een serverpark makkelijk te realiseren. |:( Dichtgooien dus
Verwijderd @kalizec4 september 2001 09:46
Voor machines die `echt' aan het internet hangen is dit wel degelijk een gevaar. Ons netwerk en aansluiting aan het internet laat snelheden van >1MB/s makkelijk toe. De exploit is overigens al redelijk lang bekend. Een nadeel was dat het nieuws in de zomervakantie uitkwam, en bij ons dus even aan de aandacht ontsnapt was. Gevolg: 8 gehackte machines.
Hans 4 september 2001 12:08
Even een kleine correctie:

- Het is een vulnarability in de BSD-derived telnetd (en dus niet FreeBSD, dat is alleen maar de naam van een BSD distro)
Squee @Hans4 september 2001 12:09
Ja... maar kijk eens naar dat lijstje wat ik gepost had een stukje hierboven, bepaalde FreeBSD's zijn wel degelijk vulnerable...
Hans @Squee4 september 2001 12:12
mja, maar dat maakt het nog niet de FreeBSD derived telnetd :?
Squee @Hans4 september 2001 12:36
Oh sorry... ik begreep je verkeerd :)
Dacht dat je bedoelde dat je dacht van:
Ja, maar het gaat hier over BSD, niet FreeBSD... alsin dat is dus niet vulnerable... maar inderdaad... het staat blijkbaar een beetje fout in het stukje?

Sorry :Y)
Verwijderd @Hans4 september 2001 19:30
Kan best kloppen hoor, als deze telnetd is geintroduceerd in FreeBSD i.p.v. BSD/OS. NetBSD is namelijk een FreeBSD fork (dacht ik tenminste) en OpenBSD is weer een NetBSD fork (dat weet ik wel zeker).
Verwijderd 4 september 2001 19:48
Dit is alleen een rootexploit als je telnetd draait als root. Distributies als debian draaien telnetd door de gebruiker 'telnetd' en lopen dus ook minder gevaar.
Verwijderd 4 september 2001 07:33
:7 ik zou idd Telnet uitschakelen. zo onveilig als maar kan :(

Maar op zich grappig om te horen dat ook lunix gevoelig is voor een wormpje :) Iedereen loopt over andere producten te zeuren, maar nu blijkt maar weer dat het met het veiligste pakket ook kan ;)
Passenger @Verwijderd4 september 2001 07:34
Het staat toch redelijk algemeen bekend dat telnet niet een van de veiligste services is op een unix-machine. Kijk maar in het eerste de beste linux-security document... Als een van de eerste stappen zul je het vervangen van telnetd door ssh tegenkomen!

[off-topic] Waarom zie ik links bij produkten geheugen, moederborden en processoren? Dat heeft toch vrij weinig met een telnet exploit te maken lijkt me??? [/off-topic]
Helox-in-a-box @Passenger4 september 2001 08:11
sluikreclame noemen ze dat tegenwoordig ;)
Verwijderd @Verwijderd4 september 2001 19:26
Eh, Linux is niet het veiligste OS hoor, in ieder geval niet in de default install (van welke distro dan ook). Dat is OpenBSD...
Stealthje 4 september 2001 19:18
Achja, ik draai ook geen telnet, ik draai SSH met Rhost RSA authification. Moet dus al het certificaat hebben om in te loggen, erg handig.

SSH vanaf internet gebruik ik niet, ik heb nog een andere machine ook op internet, die het certificaat al heeft dus log ik daar in en krijg dan het certificaat van die PC, vervolgens open ik een SSH connectie met Rhost RSA Authentification naar mn server thuis.
ik moet zeggen, dit werkt perfect :)
Verwijderd 4 september 2001 11:06
Hoe moet ik dat gaan hacken er staat nergen beschreven hoe je het moet doen alleen dat het kan :(
Hans @Verwijderd4 september 2001 12:09
Dan moet je maar eens in wat bugtraq archives gaan spitten. Als je niet eens weet waar je dat soort info en exploits kan vinden zou ik er niet eens aan beginnen als ik jou was.
RG @Verwijderd4 september 2001 15:13
jij wil het zeker gaan proberen ofzo, bij een of andere grote website ;) Nou vergeet dat maar, er is niemand met een serieuze server die telnet aan heeft staan...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq