• Tweet

No se espera que se convierta en un fenómeno como en el pasado lo fue el malware basado en Windows, pero los expertos en seguridad dicen que aparentemente el gusano aprovecha los parches de las vulnerabilidades recientes de Solaris, simplemente como recordatorio para deshabilitar el servicio de Telnet.

Sun Microsystems corrigió una vulnerabilidad de diseño en el demonio de Telnet en los sistemas operativos Solaris 10 y 11 dos semanas antes de que los atacantes pudieran explotar remotamente sin autenticarse mediante la cuenta de usuario root.

El martes, investigadores en Lexington, Mass basados en Arbor Networks Inc. Comenzaron a detectar escaneos de hosts por los servicios de Telnet.

José Nazario, miembro de Arbor Networks, encontró lo que parecía ser un gusano para Telnet en Solaris, el gusano intenta entrar al sistema con el nombre de usuario “lp” o “adm” y ejecuta una gran cantidad de comandos de shell e intenta realizar acciones maliciosas como las siguientes:

- Modificar los directorios de /var/adm and /var/spool/lp

- Instalar y correr servicios en el puerto 32982

- Programar el crontab para que se ejecute a la 1:00 am

- Escanear otros hosts vulnerables

Si aun no se han descargado los parches, es mejor deshabilitar el servicio de Telnet.

Joel Ester, gestor voluntario en Bethesda, Md. Centro de Acceso a Internet SANS (ISC), escribió en el sitio Web de la organización que el rango de direcciones IP en Francia aparentaba estar siendo escaneado en el puerto 23.

Para muchos expertos en seguridad, la vulnerabilidad y la hazaña del gusano sirven como recordatorio para decir que Telnet fácil de ingresar y que no se debe de utilizar más.

El protocolo permite que las terminales virtuales de la red se conecten sobre Internet y se incorpora a una gran variedad de sistemas operativos como Solaris de Sun, Red Hat, Mac OS de Apple. Esto ha sido considerado como un riesgo de seguridad porque los nombres de usuarios, contraseñas y los comandos subsecuentes se transmiten en texto plano.

“En mi opinión nadie debe tener abierto Telnet cuando estén navegando en Internet” dijo Donal Smith, otro gestor voluntario de ISC, cuando la vulnerabilidad de Solaris fue descubierta hace dos semanas. Él observó que desde 1994, El Instituto de la Ingeniería del Software de la Universidad Carnegie- Mellon en Pensilvania había recomendado usar otra forma de autenticación que no fuera en texto plano, debido a los ataques potenciales a las redes de datos.