• Tweet

Un servidor de Novell que al parecer varios trabajadores utilizaban para divertirse fue vulnerado y después utilizado para buscar puertos vulnerables en millones de computadoras alrededor del mundo, de acuerdo a un asesor de segueidad.

Los escaneos, realizados desde el pasado 21 de septiembre, tenían como objetivo el puerto 22 de TCP -- utilizado por el SSH (Secure Shell). SSH se utiliza para ingresar en otras computadoras de una red o para ejecutar comandos de forma remota y copiar archivos entre maquinas de una forma segura. Los escaneos contra dicho puerto es una indicación de que los atacantes están buscando sistemas con SSH vulnerable para vulnerarlos y controlarlos.

Kevan Barney, un portavoz de novell, confirmó el miercoles que uno de los sistemas de la compañia habia sido comprometido. Pero agregó que el servidor no era parte de la red corporativa, no era un servidor de producción.

Chris Brandon, presidente de Brandon Internet Security que reportó el problema a Novell el martes, indicó que fue alertado del problema cuando un cliente reportó los escaneos hace algunos días.

Según Brandon, los escaneos fuerón rastreados hasta un servidor con IP asignada a Novell. El sistema vulnerado aparecía como servidor de correo para un sitio de juegos llamado Neticus.com, y la página principal de dicho dominio esta alojada en otro servidor que también pertenece a Novell.

Tomando en cuenta el gran número de IPs escaneadas por el servidor de Novell, se puede asumir que se probarón debilidades de SSH en "millones" de computadoras, dijo.

"Los empleados que lo instalaron no tenían idea alguna sobre seguridad", indicó Brandon. "Pero lo realmente sorprendente es el hecho de que Novell deje a sus empleados levantar servidores de juego dentro de su red corporativa y además permia el acceso al público."

Brandon proporcionó a Computerworld los registros que muestran los escaneos desde la computadora de Novell. Uno de ellos esa disponible en www.mynetwatchman.com/LID.asp-IID=178119669. La dirección IP fuente listada en el reporte del incidente pertenece a Novell, según los registros del WHOIS de la red, indicó.

Barney dijo que ambos servidores eran sistemas de prueba fuera de los firewalls de la compañia. También negó que el servidor que alojaba la página principal del sitio de juegos fuera usada actualmente. Más bien, parece que solo era usado para alojar información sobre el juego, indicó.

"No había una brecha de seguridad importante", dijo Barney, "No es necesario decir que estamos tomando la medidas necesarias" para tratar la situación.

Los intentos para ingresar al sitio de Neticus.com no fueron exitosos. Pero una búsqueda con Google del sitio nos refirió a un grupo llamado la comunidad Neticus que se autodescribe como jugadores de Warcraft. Al parecer el sitio fue administrado por una persona que utiliza una dirección de Novell.