Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä CERT-FI varoittaa eräisiin OpenSSH-ohjelmiston jakelupaketteihin piilotetuista vahingollisista ohjelmakoodeista eli Troijan hevosista, joiden kautta hyökkääjä saa järjestelmän käyttöönsä.
Troijan hevonen on syntynyt, kun tunkeilija on päässyt muokkaamaan tietyillä ftp-sivustoilla olleita OpenSSH-jakelupaketteja.
Vahingollista ohjelmakoodia on havaittu seuraavissa OpenSSH-paketeissa:
- openssh-3.4p1.tar.gz
- openssh-3.4.tgz
- openssh-3.2.2p1.tar.gz
Vahingollista koodia sisältävät tiedostot olivat ftp-sivustoilla ftp.openssh.com ja ftp.openbsd.com 30. heinäkuuta ja 1. elokuuta välisen ajan.
Vahingollista ohjelmakoodia sisältävät tiedostot ehtivät kuitenkin levitä OpenSSH:n ja OpenBSD:n lisäksi myös niihin ftp-jakelukanaviin, jotka peilaavat OpenSSH:n ftp-sivuja.
Troijan hevosen sisältävien OpenSSH pakettien vahingollinen ohjelmakoodi ajetaan kun ohjelma käännetään. Vahingollinen ohjelmakoodi muodostaa TCP -yhteyden tietyn osoitteen porttiin 6667. Tämän takaportin kautta hyökkääjä voi suorittaa omia komentoja kohdejärjestelmässä.
Ratkaisu:
Varmista OpenSSH jakelupaketin aitous verifioimalla paketin eheys. Poista vahingollista ohjelmakoodia sisältävät OpenSSH asennukset.
Lisätietoja:
