Security Advisory by Juanma Merino
Remote DoS on IBM Director 3.1 Agent for Windows
Reported to esCERT UPC on: May 2003 (no response)
Vendor contacted on: March 1, 2004 (no response)
Vendor: IBM (www.ibm.com)
Systems Affected:
IBM Director 3.1 Agent for Windows
- Windows 2000 professional SP3, SP4
- Windows NT4 SP6a
- Other Windows flavours not tested but probably affected too.
Description:
When running Amap (www.thc.org) in order to discover what protocol is running on TCP port 14247, IBM Director Agent for Windows crashes.
TCP port 14247 is owned by twgipc.exe. Fport shows this:
"twgipc -> 14247 TCP %ProgramFiles%\UMS\Director\bin\twgipc.exe"
Amap in this case looks like this:
root@localhost root]# amap -sT xxx.x.224.48 14247
Amap v2.1 started at Mon May 26 16:23:34 2003, stand back and keep children away
Couldn't connect to tcp port 14247 on 100.1.224.48. Service crashed after scanning?
Unidentified ports: 14247:tcp (total 1).
Amap v2.1 ended at Mon May 26 16:24:20 2003
(linux box has a wrong time)
This action generates two system events (sorry, they are in Spanish):
*************************************
Tipo de suceso: Error
Origen del suceso: TWGIPC
Categoría del suceso: Ninguno
Id. del suceso: 0
Fecha: 23/05/2003
Hora: 14:44:08
Usuario: No disponible
Equipo: XXXXX
Descripción:
No se encuentra la descripción del Id. de suceso ( 0 ) en el origen ( TWGIPC ). Es posible que el equipo local no tenga la información de Registro o archivos DLL de mensajes necesarios para mostrar mensajes desde un equipo remoto. La siguiente información es par Error TWGIPC: 6; SetServiceStatus(dwCurrentState=1, dwWin32ExitCode=0, dwCheckPoint=0).
*************************************
Tipo de suceso: Información
Origen del suceso: Application Popup
Categoría del suceso: Ninguno
Id. del suceso: 26
Fecha: 26/05/2003
Hora: 16:23:19
Usuario: No disponible
Equipo: XXXXX
Descripción:
Aplicación emergente: TCPIP: twgipc.exe - Error de aplicación : La instrucción en "0x5dc674eb" hace referencia a la memoria en "0x01060000". La memoria no se puede "written".
Haga clic en Aceptar para finalizar este programa
Haga clic en CANCELAR para depurar el programa
**************************************
After the service crash restart UMS service is needed in order to keep the agent running again.
Solution: I don't know any solution.
Note: I have no answer from IBM. I don't know if they've send my email to the trash or if they are working on it. So I've decided to post the vulnerability. If someone with greater skills wants to take a look contact me so I have more information regarding this vulnerability.
E-mail: jmmerino[at]jazzfree.com
----------------------------------------------------------------
Juanma Merino
http://t3k.ibernet.com
-----------------------------------------------------------------------------