Troijan hevonen OpenSSH jakelupaketeissa

Tunkeilija on päässyt muokkaamaan tietyillä ftp-sivustoilla olleita OpenSSH jakelupaketteja ja seuraavien OpenSSH pakettien on havaittu sisältävän vahingollista ohjelmakoodia:

openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz

Vahingollista koodia sisältävät tiedostot olivat ftp-sivustoilla ftp.openssh.com ja ftp.openbsd.com 30. tai 31. heinäkuuta ja 1. elokuuta 13:00 UTC välisen ajan. Vahingollista ohjelmakoodia sisältävät tiedostot ehtivät kuitenkin levitä myös niihin ftp-jakelukanaviin, jotka peilaavat OpenSSH:n ftp-sivuja.

Troijan hevosen sisältämän OpenSSH paketin vahingollinen ohjelmakoodi ajetaan kun ohjelma käännetään. Vahingollinen ohjelmakoodi muodostaa TCP -yhteyden tietyn osoitteen porttiin 6667. Tämän takaportin kautta hyökkääjä voi suorittaa omia komentoja kohdejärjestelmässä.

Varoituksen kohderyhmä

Kaikki järjestelmät joihin on käännetty Troijan hevosen sisältämä OpenSSH peketti. On huomattavaa, että vahingollista ohjelmakoodia sisältämät jakelupaketit ovat levinneet myös muihin jakelukanaviin kuin OpenSSH:n ja OpenBSD:n ftp-sivustoille.

Ratkaisu- ja rajoitusmahdollisuudet

Varmista OpenSSH jakelupaketin aitous verifioimalla paketin eheys. Poista vahingollista ohjelmakoodia sisältävät OpenSSH asennukset. Lisäksi CERT-FI suosittelee tutkimaan erityisen huolellisesti kaikki ohjelmat, jotka on saatettu ladata ftp-sivustoilta, joihin on tunkeuduttu.

Lisätietoa

http://www.openssh.com/txt/trojan.adv

http://www.cert.org/advisories/CA-2002-24.html

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248