Sempre SSHD Exploit CRC

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Sempre SSHD Exploit CRC
Mittente: Fausto Pasqualetti
Data: 22 Nov 2001 09:50:41 -0000

Ho trovato sul CERT il seguente report:

*Exploitation of vulnerability in SSH1 CRC-32 compensation attack detector*

URL: http://www.cert.org/incident_notes/IN-2001-12.html

Interessante notare la possibilità di individuare un possibile attacco
tramite la nota vulnerabilità  trovando nei log files i seguenti messaggi
che sono stati notati nei reports ricevuti dal CERT/CC:

hostname sshd[xxx]: Disconnecting: Corrupted check bytes on input.
hostname sshd[xxx]: Disconnecting: crc32 compensation attack: network attack
detected
hostname sshd[xxx]: Disconnecting: crc32 compensation attack: network attack
detected

Per sfruttare la vulnerabilità *sembra* che si utilizzi un attacco brute
force.
Interessanti anche le azioni che l'intruso attua, soprattutto:
The following artifacts have been discovered on systems that were
successfully compromised:

*Installation of tools to scan large network blocks for other systems that
are vulnerable to compromise. Log files left behind from these tools
indicate that they operate by looking for the banner displayed upon
connection to the sshd service.*

E naturalmente l'exploit è per guadagnare i privilegi di superuser.



 Fausto




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: R: Piccoli Hacker crescono [salmo 3], F.V.Gilger
- successivo: R: Piccoli Hacker crescono, Caris Ruben
- indice

Argomento:
- precedente: Dalla newsletter della ACM, Raistlin
- successivo: EU Anti-Hacking Proposal, Marco Ivaldi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005