sábado, 28 de marzo de 2015

Cisco soluciona 16 vulnerabilidades en IOS e IOS-XE

Cisco ha publicado su paquete bianual de alertas de seguridad para el software Cisco IOS. En esta ocasión la firma distribuye siete avisos que solucionan un total de 16 vulnerabilidades en sus routers y switches.

El primero de los boletines publicados, y posiblemente el de mayor gravedad, hace referencia a tres vulnerabilidades en la característica Autonomic Networking Infrastructure (ANI) del software Cisco IOS e IOS XE. Los problemas podrían permitir, a un atacante remoto sin autenticar, provocar condiciones de denegación de servicio o conseguir un control limitado del dispositivo.
Afecta a los siguientes dispositivos Cisco IOS con soporte ANI:
Cisco Aggregation Services Routers Series ASR 901, 901S y 903
Cisco Ethernet Access Switches Series ME 3600, 3600X y 3800X

Otra alerta reside en una vulnerabilidad en el subsistema de rutado y reenvío virtual (VRF o Virtual Routing and Forwarding) del software Cisco IOS, que podría permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio. Se ven afectados los dispositivos con determinadas configuraciones cuando uno o más interfaces físicos están asignados a un interfaz VRF.

Una vulnerabilidad en el módulo de entrada TCP de Cisco IOS e IOS-XE podría permitir a atacantes remotos sin autenticar provocar una fuga de memoria o un reinicio del dispositivo afectado. Afecta a dispositivos con Cisco IOS o Cisco IOS XE.

Dos vulnerabilidades residen en el subsistema de intercambio de llaves IKE (Internet Key Exchange o IKE) versión 2. Afecta a dispositivos con Cisco IOS o Cisco IOS XE con IKEv1 o ISAKMP activo. Tres vulnerabilidades residen en la implementación en Cisco IOS de la característica Common Industrial Protocol (CIP) al tratar paquetes CIP específicamente manipulados. Afecta al software Cisco IOS si CIP está habilitado en una interfaz.

Por último, cinco vulnerabilidades diferentes afectan al software Cisco IOS XE en routers Cisco ASR 1000 Series, Cisco 4400 Series y Cisco Cloud Services Routers (CSR) 1000v Series. Los problemas residen en la funcionalidad high-speed logging (HSL), en el componente AppNav, en el análisis IPv6, en Layer 4 Redirect (L4R) y en el tratamiento de Common Flow Table (CFT).  

Los CVEs asignados a las vulnerabilidades van del CVE-2015-0635 al CVE-2015-0650. Todas las vulnerabilidades podrían permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio.

Al igual que otros fabricantes Cisco realiza publicaciones conjuntas de las actualizaciones de sus productos Cisco IOS de forma periódica. Estas se realizan el cuarto miércoles de los meses de abril y septiembre de cada año.

Cisco ha publicado actualizaciones gratuitas para corregir todas las vulnerabilidades.

Más información:

Cisco Event Response: March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication

Multiple Vulnerabilities in Cisco IOS and IOS XE Software Autonomic Networking Infrastructure

Cisco IOS Software Virtual Routing and Forwarding ICMP Queue Wedge Vulnerability

Cisco IOS Software and IOS XE Software Internet Key Exchange Version 2 Denial of Service Vulnerabilities

Multiple Vulnerabilities in Cisco IOS Software Common Industrial Protocol

Cisco IOS and IOS XE Software mDNS Gateway Denial of Service Vulnerability

Cisco IOS Software and IOS XE Software TCP Packet Memory Leak Vulnerability

Multiple Vulnerabilities in Cisco IOS XE Software for Cisco ASR 1000 Series, Cisco ISR 4400 Series, and Cisco Cloud Services 1000v Series Routers



Antonio Ropero
Twitter: @aropero



viernes, 27 de marzo de 2015

Flashback

Según un reciente informe muchas aplicaciones Flex siguen siendo vulnerables a una vulnerabilidad de hace tres años, independientemente del nivel de actualización del reproductor Flash.

Flex es un SDK (software development kit) para el desarrollo de aplicaciones RIA (Rich Internet Application o "aplicaciones de Internet enriquecidas") basadas en la plataforma Adobe Flash. Flex, aunque en la actualidad es un proyecto Open Source de Apache (Apache Flex), hasta el 2011 era un producto de Adobe (Adobe Flex), que fue donado a la Apache Software Foundation.

Los investigadores Luca Carettoni (de LinkedIn) y Mauro Gentile (de Minded Security) han descubierto que muchas aplicaciones Flex publicadas en Internet en la actualidad siguen siendo vulnerables a una vulnerabilidad del 2011. El problema (con CVE-2011-2461), fue parcheado por Adobe en su momento, a través de la actualización apsb11-25 que también fue comentada por Hispasec en una-al-dia. El fallo podría permitir a un atacante evitar la política de mismo origen y realizar ataques de Cross-Site Request Forgery.

Aunque el fallo fue corregido en su momento por Adobe, no bastaba con actualizar Flex. Tal y como explicaba el aviso de Adobe, todos los archivos compilados con alguna versión vulnerable de Flex necesitaban ser recompilados (o parcheados) con una versión actualizada para evitar la vulnerabilidad. Si el archivo SWF está compilado con una versión vulnerable de Flex SDK, un atacante podrá utilizar esta vulnerabilidad ante los últimos navegadores web y Flash actualizados.

Durante los meses de octubre y diciembre de 2014, los investigadores analizaron múltiples dominios buscando SWFs vulnerables. Sorprendentemente encontraron que muchos aun alojan archivos SWF afectados, incluyendo sitios como Google, Yahoo! o incluso la propia Adobe.

Luca (@_ikki) y Mauro (@sneak_) han desarrollado una aplicación Java, ParrotNG, que permite identificar los archivos SWF vulnerables. La herramienta se encuentra disponible desde
https://github.com/ikkisoft/ParrotNG/releases

Los investigadores advierten que aun hay muchos sitios que alojan aplicaciones SWF vulnerables y recomiendan recompilarlas con la última versión de Apache Flex SDK, parchearlas con la utilidad oficial de Adobe (disponible aquí) o directamente eliminarlas si no se usan.

Más información:

The old is new, again. CVE-2011-2461 is back!

Presentación "The old is new, again. CVE-2011-2461 is back!"

una-al-dia (30/11/2011) Actualización de seguridad para Adobe Flex SDK
http://unaaldia.hispasec.com/2011/11/actualizacion-de-seguridad-para-adobe.html



Antonio Ropero
Twitter: @aropero