CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES

viernes, 26 de diciembre de 2008

El año de las "grandes catástrofes" en Internet



Si por algo se ha caracterizado (y se recordará) 2008 es por convertirse
en el año de las grandes catástrofes en Internet, con el descubrimiento
de hasta cinco graves vulnerabilidades que hacían tambalearse los
cimientos de la Red. En contraste, durante el año, la mayoría de los
atacantes han seguido valiéndose sobre todo de fallos "tradicionales".

El "despiste" de Debian

En mayo se descubre que el generador de números aleatorios del paquete
OpenSSL de Debian es predecible. Esto hace que las claves generadas con
él ya no sean realmente fiables o verdaderamente seguras. Alguien (por
error) del equipo de Debian eliminó en 2006 una línea de código en el
paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular
el par de claves pública y privada.

Kaminsky y los DNS

El 8 de julio de 2008 se publica una actualización coordinada para
la mayoría de los dispositivos en Internet que utilizan DNS. Ha sido
descubierta una vulnerabilidad inherente al protocolo que permite
falsificar las respuestas DNS y, por tanto, redireccionar el tráfico.
Cisco, Microsoft, BIND... todos publican una nueva versión o actualizan
sus sistemas para solucionar un misterioso fallo. Dan Kaminsky es el
responsable de orquestar la macroactualización. Thomas Dullien se
aventura semanas después a publicar en su blog su particular visión
de lo que podía ser el problema descubierto por Kaminsky, sin tener
conocimiento previo de los detalles. Y no se equivoca en su teoría:
es posible falsificar (a través del envío continuo de cierto tráfico)
los servidores autorizados de un dominio.

Espionaje a "gran escala" con BGP

En agosto se habla de nuevo de la mayor vulnerabilidad conocida al
demostrar Tony Kapela y Alex Pilosov una nueva técnica (que se creía
teórica) que permite interceptar el tráfico de Internet a una escala
global. Se trata de nuevo de un fallo de diseño en el protocolo BGP
(Border Gateway Protocol) que permitiría interceptar e incluso modificar
todo el tráfico de Internet no cifrado. BGP es un protocolo que se
utiliza para intercambiar tablas de enrutamiento entre sistemas
autónomos (AS). El problema es que nunca se ha llegado a idear un
sistema que realmente autentique a ambas partes, y los routers estén así
seguros de que la información recibida desde un AS es legítima y viene
del sitio adecuado.

La denegación de servicio "perfecta"

Por cuarta vez en el año, se habla de la mayor vulnerabilidad encontrada
en la Red. La compañía sueca Outpost24 dice que descubrió en el 2005
(aunque lo saca a la luz 3 años después, posiblemente animada por los
otros acontecimiento) varias vulnerabilidades de base en el mismísimo
protocolo TCP/IP que podrían permitir la caída de cualquier aparato con
comunicación TC en la Red. Es la llamada "denegación de servicio de bajo
ancho de banda". Aunque todavía no se conocen los detalles, todo son
conjeturas. Dicen no conocer una implementación de la pila que no sea
vulnerable. La información sobre lo que se da en llamar Sockstress se
estanca. Finalmente no ofrecen los detalles prometidos aunque pueden
demostrar su eficacia.

¿El fin del WiFi?

A principios de octubre se publica que la compañía rusa ElcomSoft había
conseguido reducir sustancialmente el tiempo necesario para recuperar
una clave de WPA, ayudándose de tarjetas gráficas NVIDIA y fuerza bruta.
Se trata más de una maniobra de publicidad que una vulnerabilidad real.
Sin embargo poco después Tews y Beck encuentran un problema inherente a
una parte de WPA con el cifrado TKIP. Aunque la noticia es exagerada en
medios, realmente se trata de una prueba de concepto que no permite
recuperar la contraseña ni influye al método de autenticación. La
técnica está limitada a descifrar paquetes concretos o inyectar nuevos
(y sólo una pequeña cantidad) de tamaño reducido. Aun así parece el
principio del fin para WPA y un acicate para pasar a WPA2.

Problemas en IPv6

En julio también se descubrió un problema en todas las implementaciones
del protocolo Neighbor Discovery Protocol (NDP) para detectar nodos
IPv6. Un atacante podría interceptar tráfico privado. Todos los grandes
fabricantes deben actualizar.

Los ataques más usados

Aunque se han detectado ataques a servidores SSH que se sospecha estaban
relacionados con el problema de Debian y desde China se han observado
ataques contra la vulnerabilidad DNS descubierta por Kaminsky, del resto
de graves vulnerabilidades no se tiene constancia de que estén siendo
aprovechadas al menos de forma masiva.

En realidad, los ataques masivos del "día a día" que se han sufrido este
año han tenido su origen una vez más en vulnerabilidades "tradicionales"
que permiten ejecución de código en software popular. Las
vulnerabilidades que más han sido aprovechadas de forma masiva en 2008
(aunque no las únicas, sí las de mayor impacto) han sido:

* En enero, los atacantes aprovechan de forma masiva una vulnerabilidad
en RealPlayer.

* En febrero se descubre que un fallo en Adobe Acrobat/Reader 8 está
siendo aprovechado para infectar sistemas. También aprovecharían otra
vulnerabilidad para infectar a través de archivos PDF en noviembre .

* En abril, una vulnerabilidad de ejecución de código en el motor GDI
de Windows.

* En mayo, un problema en el reproductor Flash de Adobe.

* El día 23 de octubre Microsoft publica un parche fuera de su ciclo
habitual en el que se soluciona un fallo de seguridad en el servicio
Server. Es problema es muy parecido al que aprovechó Blaster en 2003.
No se convierte en epidemia pero es muy aprovechado en redes internas.

* La vulnerabilidad en el manejo de etiquetas XML de Internet Explorer.
El 17 de diciembre Microsoft publica otro parche fuera de su ciclo
porque la vulnerabilidad está siendo masivamente explotada.

Casi siempre, todas estas vulnerabilidades se aprovechan con el fin
de instalar malware y obtener así un lucro directo de los sistemas
atacados.

Actualización del kernel para Debian Linux 4.x



Debian ha publicado una actualización del kernel que corrige múltiples
fallos de seguridad que podrían causar una denegación de servicio o una
elevación de privilegios.

Los problemas corregidos son:

* Denegación de servicio local o escalada de privilegios en
rch/i386/kernel/sysenter.c a través de las funciones
install_special_mapping, syscall y syscall32_nopage.

* Denegación de servicio local a través de los sistemas de archivos ext2
y ext3. Un usuario local con permisos para montar sistemas de archivos
podría crear un sistema de archivos especialmente manipulado pudiendo
hacer que el kernel envíe mensajes de error de forma indefinida.

* Salto de restricciones de seguridad a través de splice() en archivos
abiertos con O_APPEND, que podría permitir la escritura en dicho
archivo.

* Posibles denegaciones de servicio remoto a través del subsistema SCTP
(kernel oops y kernel panic).

* Denegaciones de servicio local a través del sistema de archivos
hfsplus. Un usuario local con permisos para montar sistemas de archivos
podría crear un sistema de archivos especialmente manipulado que podría
dar lugar a una corrupción de memoria o kernel oops.

* Denegación de servicio, a través del subsistema de sockets unix, que
podría causar una corrupción de memoria o kernel panic.

* Denegación de servicio, a través de la función svc_listen de
net/atm/proc.c. Un usuario local podría provocar un bucle infinito
mediante dos llamadas a svc_listen hacia el mismo socket y, a
continuación, una lectura del archivo /proc/net/atm/*em.

* Elevación de privilegios a través de inotify. Un usuario local podría
obtener una elevación de privilegios a través de vectores desconocidos
relacionados con condiciones de carrera en inotify y umount.

* Denegación de servicio a través de la función sendmsg y AF_UNIX. Un
usuario local mediante múltiples llamadas a la función sendmsg podría
causar una denegación de servicio debido a que AF_UNIX no bloquea estas
peticiones durante la recolección de basura y provoca una condición OOM.

Se recomienda actualizar a través de las herramientas automáticas
apt-get.

Ejecución de código a través de la extensión mbstring de PHP 5.x y 4.x


Se ha encontrado una vulnerabilidad en PHP, en la extensión de
tratamiento de cadenas con tipografía multibyte, que podría permitir
a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria basado en heap en la
extensión mbstring que podría permitir la ejecución de código con los
privilegios del servicio objetivo. El problema se da en el código que
decodifica cadenas que contienen entidades HTML a cadenas Unicode
(mbfilter_htmlent.c).

Las funciones afectadas (entre otras) son:
mb_convert_encoding()
mb_check_encoding()
mb_convert_variables()
mb_parse_str()

Son vulnerables todas las versiones anteriores a la 4.3.0 y 5.2.7. El
problema ha sido solucionado en la versión 5.2.8 disponible en
www.php.net

martes, 23 de diciembre de 2008

La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima




Hace unos días, tanto el SANS como distintas casas antivirus advertían
de un comportamiento más que curioso en la vieja conocida familia de
malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el
cambio local de la configuración de servidores DNS en el sistema (para
conducir a la víctima a los servidores que el atacante quiera). Ha
llegado hasta el punto de instalar una especie de servidor DHCP e
infectar así a toda una red interna. Los servidores DNS que instala
el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las
familias que más han atacado a sistemas Mac, además de a Windows. Entre
otras muchas formas de toparse con ellos, se suelen encontrar en
servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por
modificar los servidores DNS de la víctima a la que infectan. De esta
forma, la asociación IP-Dominio queda bajo el control del atacante, de
manera que la víctima irá a la IP que el atacante haya configurado en su
servidor DNS particular. Normalmente, se confía en los DNS de los ISP,
pero si se configura cualquier otro, realmente la resolución queda a
merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de
forma que cambiaba los servidores DNS del ISP de la víctima por otros
controlados por el atacante. Después, el malware evolucionó hacia la
modificación del router ADSL de la víctima. Buscaba la "puerta de
enlace" del sistema, que suele corresponderse con el router, y realizaba
peticiones o aprovechaba vulnerabilidades de routers conocidos para
modificar estos valores. Así el usuario se veía afectado por el cambio
pero de una forma mucho más compleja de detectar. Además, también se
verían afectadas el resto de las máquinas que tomaran estos valores del
propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un
pequeño servidor DHCP. Este es el protocolo usado en las redes locales
para que cuando un sistema se conecta a la red, el servidor lo reconozca
y le proporcione de forma automática los valores necesarios para poder
comunicarse (dirección, ip, puerta de enlace...). Habitualmente también
proporciona los valores de los servidores DNS que haya establecido el
administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a
bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica
simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP
legítimas de algún sistema en la red, el malware responde con su propia
configuración de DNS, de forma que el ordenador que acaba de enchufarse
a la red local, quedaría configurado como el atacante quiere, y no como
el administrador ha programado. El atacante confía en la suerte, pues el
servidor DHCP legítimo de la red, si lo hubiese, también respondería.
Quien llegue antes "gana". Consiguen así infecciones "limpias", pues es
complicado saber quién originó el tráfico si éste no es almacenado y
analizado. Además, con este método se pueden permitir realizar muchos
otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura
para que sea útil. Los servidores DNS (bajo el control de los atacantes)
de los que se vale, los que modifica en el usuario, suelen estar
alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de
red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de
direcciones se corresponden con servidores DNS públicos que no contienen
las asociaciones legítimas de domino y dirección IP. En ocasiones
utilizan el servidor DNS para asociar dominios a la IP reservada
127.0.0.1, como es el caso del servidor de descargas de Microsoft
download.microsoft.com. Con esto se consigue que la víctima no pueda
actualizar el sistema operativo con parches de seguridad. Curiosamente,
al parecer, las direcciones de actualización de Apple no están
bloqueadas (a pesar de que suele afectar a este sistema operativo).
También se bloquean un buen número de páginas de actualizaciones de
casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el
sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112...

Sólo son necesarias algunas consultas "dig" (comando para averiguar qué
direcciones están relacionadas con qué dominios en un servidor DNS) para
comprobar qué dominios "interesan" o no a los atacante
s.


Rogue DHCP servers
http://isc.sans.org/diary.php?storyid=5434

DNSChanger: One Infection, Lots Of Problems
http://www.avertlabs.com/research/blog/index.php/2008/12/16/dnschanger-one-infection-lots-of-problems/

Escalada de privilegios en Microsoft SQL Server 2000 y 2005


Se ha encontrado una vulnerabilidad en Microsoft SQL Server 2000 y 2005
que podría ser explotada por un atacante de la red local para escalar
privilegios.

La vulnerabilidad está causada por un error de límites en la
implementación de "sp_replwritetovarbin()" que podría provocar un
desbordamiento de búfer basado en heap. Esto podría ser explotado por un
atacante remoto para escalar privilegios mediante el paso de argumentos
especialmente manipulados a la función.

La vulnerabilidad está confirmada para Microsoft SQL Server 2000 versión
8.00.2050 y existe un exploit público capaz de aprovechar esta
vulnerabilidad.

Se recomienda deshabilitar el procedimiento extendido
sp_replwritetovarbin con el comando:
dbo.sp_dropextendedproc 'sp_replwritetovarbin'


Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability
http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt

martes, 16 de diciembre de 2008

Ejecución de código arbitrario en CA ARCserve Backup



Se ha descubierto una vulnerabilidad en CA ARCserve Backup que podría
permitir a un atacante remoto causar una denegación de servicio o la
ejecución de código arbitrario.

CA ARCserve Backup es una suite de gestión de almacenamiento y
recuperación de datos muy usada en el mundo empresarial. Soporta las
diferentes plataformas integradas en la red, servidores bajo diferentes
dominios o soluciones virtualizadas bajo VMware. Ofrece gestión
centralizada de procesos, informes e integración de medidas antivirus y
de cifrado.

El fallo se debe a una insuficiente verificación de los datos del
cliente. Un atacante remoto podría provocar la caída del servicio
LDBserver o ejecutar código arbitrario en el contexto del servicio. Solo
afecta a la aplicación servidor bajo Windows.

CA ha asignado un alto riesgo a esta vulnerabilidad y ha publicado las
siguientes actualizaciones según versión:
CA ARCserve Backup r12.0 Windows: Instalar Service Pack 1 (RO01340)
CA ARCserve Backup r11.5 Windows: RO04383
CA ARCserve Backup r11.1 Windows: RO04382
CA Protection Suites r2: RO04383

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3704/comentar

Denegación de servicio a través de libICE en Solaris



Sun ha publicado una actualización de libICE para Solaris 8, 9, 10 y
OpenSolaris, que corrige una vulnerabilidad que podría permitir a un
atacante remoto sin privilegios causar una denegación de servicio.

El fallo, del que no se han ofrecido detalles, reside en libICE y afecta
a todas las aplicaciones que enlacen a esta librería. Un atacante remoto
sin privilegios causar una denegación de servicio a través de vectores
desconocidos.

Sun ha publicado los siguientes parches disponibles, según versión y
plataforma:
Para la plataforma SPARC:
Solaris 8 con parche 119067-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119067-11&method=h
Solaris 9 con parche 112785-65 o superior
http://sunsolve.sun.com/pdownload.do?target=112785-65&method=h
Solaris 10 con parche 119059-46 o superior
http://sunsolve.sun.com/pdownload.do?target=119059-46&method=h

Para la plataforma x86:
Solaris 8 con parche 119068-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119068-11&method=h
Solaris 9 con parche 112786-54 o superior
http://sunsolve.sun.com/pdownload.do?target=112786-54&method=h
Solaris 10 con parche 119060-45 o superior
http://sunsolve.sun.com/pdownload.do?target=119060-45&method=h
OpenSolaris versión de compilación snv_85 o superior

jueves, 4 de diciembre de 2008

Múltiples vulnerabilidades en 3Com Wireless AccessPoint




Se han encontrado múltiples vulnerabilidades en 3Com Wireless 8760
Dual-Radio 11a/b/g PoE Access Point que podrían ser aprovechadas por un
atacante para saltarse restricciones de seguridad, acceder a información
sensible, inyectar código SNMP y perpetrar ataques de cross-site
scripting.

* Un fallo en el mecanismo de autenticación podría permitir a un
atacante remoto entrar al panel de administración (si conoce las URLs
del mismo) suplantando la IP desde la que se haya establecido el acceso
como administrador.

* Un fallo en la composición de ciertas páginas como s_brief.htm y
s.htm, puede ser aprovechado por un atacante para acceder a información
sensible incluida en las mismas, como la contraseña de administrador.

* Un fallo de comprobación de datos de entrada al establecer el
nombre del sistema vía SNMP puede permitir a un atacante inyectar
código arbitrario en el navegador mientras dure la sesión entre
cliente-servidor (cross-site scripting). Solo es posible si se
tiene configurado SNMP con privilegios de escritura.

Estas vulnerabilidades han sido reportadas para la versión de firmware
2.1.13b05_sh aunque no se descarta que afecte a otras versiones.

Actualmente no existe parche disponible para estas vulnerabilidades.
Como contramedida se recomienda deshabilitar el interfaz web de
administración y el acceso de escritura a SNMP.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3693/comentar

Más información: