lunes, 30 de abril de 2001

Actualización de MySQL

Se ha publicado la versión 3.23.36 de MySQL, que soluciona algunos
problemas de seguridad importantes.
MySQL es un servidor de bases de datos SQL, "open source", de altas
prestaciones, extremadamente difundido en el mundo Linux.

La versión 3.23.36 soluciona diversos problemas de seguridad en el
servidor de bases de datos, en particular con la gestión de bases de
datos con nombres "maliciosos", como ".." o "," que, utilizados
convenientemente, permiten sobreescribir cualquier fichero del sistema
sobre el que el demonio tenga permiso de escritura. Esto es
especialmente grave si el administrador está ejecutando el servidor
MySQL como "root".

Los usuarios de MySQL deberían actualizar a la versión 3.23.36 o
superior.

Más información:

MySQL:
http://www.mysql.com/



Jesús Cea Avión
jcea@hispasec.com



domingo, 29 de abril de 2001

Actualización urgente de IP Filter

Las versiones de IP Filter previas a 3.4.17 o la 3.3.22 son susceptibles
a un ataque que permite alcanzar puertos TCP y UDP teóricamente
protegidos por el cortafuegos.
IP Filter es un cortafuegos de paquetes disponible para varias
plataformas, hasta el punto de convertirse en el firewall nativo de
la familia *BSD. Funciona también en Solaris, IRIX, HP-UX y otros.

La vulnerabilidad descubierta posibilita que un atacante malicioso pueda
alcanzar puertos protegidos por el cortafuegos, siempre que tenga acceso
a algún puerto "inofensivo".

El ataque se basa en "polucionar" una caché utilizada para no tener que
revisar todas las reglas con cada datagrama, mediante el uso de
datagramas fragmentados hacia puertos permitidos. Dichos datagramas
crean entradas en la caché que harán que a una trama maliciosa posterior
no se le apliquen las reglas, ya que tiene una entrada en la "caché".

El ataque puede llevarse a cabo incluso si el cortafuegos se configura
para filtrar cualquier datagrama fragmentado.

Se recomienda actualizar las instalaciones de IP Filter con 3.3.x a
3.3.22 o superior, y las de 3.4.x a 3.4.17 o superior.

Los usuarios que no puedan actualizar el cortafuegos pueden deshabilitar
las funciones de "caching" del mismo y eliminar esta vulnerabilidad
mediante el uso de herramientas como "adb", "gdb" o "kgdb" y con
la asignación del valor 1000000 a la variable "ipfr_inuse". El valor en
concreto no es importante; basta con que sea un entero mayor que
IPFT_SIZE.

Esta modificación del cortafuegos "en caliente" no se puede realizar en
*BSD si "securelevel" tiene un valor mayor que 0.

En una de las URLs que aparecen en la sección de información adicional
se incluyen parches a aplicar sobre el código fuente original de IP
Filter, en caso de que no se pueda actualizar a las versiones inmunes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

IPFilter Fragment Rule Bypass Vulnerability:
http://www.securityfocus.com/bid/2545

IP Filter:
http://coombs.anu.edu.au/~avalon/ip-filter.html

URGENT: Serious bug in IPFilter:
http://false.net/ipfilter/2001_04/0087.html



sábado, 28 de abril de 2001

Actualización recomendada de Kernel Linux a 2.2.19

Las versiones del Kernel Linux anteriores a la 2.2.19 tienen varias
vulnerabilidades que permiten la ejecución de código arbitrario en el
servidor, con privilegios de administrador o "root". Es posible para un
usuario, además, modificar memoria kernel y bloquear la máquina.
Estas vulnerabilidades eran posibles debido a diversas "race conditions"
entre "ptrace", "exec" y ejecutables SETUID. Adicionalmente, la llamada
"sysctl" podía ser utilizada para leer y escribir en memoria kernel.

La recomendación es actualizar a kernel 2.2.19 o superior, que mediante
una gestion apropiada de memoria virual corrige de forma adicional
diversos problemas de señales y otros fallos menores.

Todas las distribuciones linux más populares disponen ya de sus
correspondientes actualizaciones.

Más información:

Linux 2.2.19 Release Notes:
http://www.linux.org.uk/VERSION/relnotes.2219.html




Jesús Cea Avión
jcea@hispasec.com



viernes, 27 de abril de 2001

Publicada una metodología para la verificación de la seguridad

El proyecto de desarrollo de una metodología, de libre uso, para la
realización de las pruebas de verificación de la seguridad acaba de
publicar la versión 1.0 del documento. Se trata de un manual, dirigido a
la comunidad profesional dedicada a la seguridad informática, que describe
el conjunto mínimo de pruebas a realizar.

El manual, útil para los profesionales de seguridad informática así como
para los administradores de redes, marca una serie de acciones a realizar
en las pruebas de penetración, "hacking ético" y análisis de la seguridad
de la información. El objetivo, pues, es ofrecer un marco estandarizado
para la realización de las valoraciones de seguridad.

Para el desarrollo del manual se han tenido presente diversas normativas
legales (entre las que se incluye la ley española de protección de datos),
de forma que también puede ser utilizada en la evaluación del cumplimiento
de las mismas.

El proceso de realización de pruebas detallado en la metodología incluye
los siguientes ámbitos:

1. Análisis de la red
2. Análisis de puertos
3. Identificación de sistemas
4. Pruebas de debilidades en sistemas sin hilos (Wireless)
5. Verificación de servicios
5.1 Web
5.2 Correo
5.3 Servidor de nombres
5.4 Documentos visibles
5.5 Virus y troyanos
6. Determinación de vulnerabilidades
7. Identificación de exploits
8. Verificación manual de vulnerabilidades
9. Verificación de aplicaciones
10. Verificación de cortafuegos y ACL
11. Revisión de la política de seguridad
12. Revisión de sistemas de detección de intrusos
13. Revisión de sistemas de telefonía.
14. Obtención de información:
14.1 Servicios de noticias, notas de prensa, informaciones
facilitadas por la propia empresa.
14.2 Ofertas de trabajo
14.3 Newsgroups
14.4 Cracks, números de serie y "underground"
14.5 FTP y Gopher
14.6 Web
14.7 P2P
15. Ingeniería social
16. Verificación de sistemas "fiables"
17. Análisis de fortaleza de contraseñas
18. Denegación de servicio
19. Revisión de la política de privacidad.
20. Análisis de cookies y bugs en la web
21. Revisión de archivos de anotaciones cronológicas

A pesar de que el documento todavía no cubre todos sus objetivos, en su
formato actual es una muy buena guía. Al tratarse de un proyecto abierto,
distribuido bajo licencia GNU, todas las contribuciones son muy bien
recibidas. La versión actual del documento está disponible en inglés y en
formato HTML, PDF y PS.



Xavier Caballé
xavier.caballe@selesta.es


Más información:

Open-Source Security Testing Methodology Manual:
http://www.ideahamster.org

Listas de distribución del proyecto:
http://sourceforge.net/mail/?group_id=21393

Versión en catalán de esta noticia:
http://www.quands.com/articles/html/osstmm.html



jueves, 26 de abril de 2001

Desbordamiento de búfer en el "ipcs" de Solaris

Algunas versiones de Solaris son susceptibles a un desbordamiento de
búfer en "ipcs", que permitiría ejecutar código arbitrario con los
privilegios del grupo "sys".
"ipcs" es una herramienta que proporciona información sobre los recursos
SysV compartidos entre procesos, a nivel de sistema: colas de mensajes,
memoria compartida y semáforos.

"ipcs" es SETGID al grupo "sys", y algunas versiones contienen un
desbordamiento de búfer a través de la variable de entorno TZ, que
permitiría la ejecución de código arbitrario en el servidor, con
privilegios de grupo "sys".

A la espera de que Sun publique un parche oficial, se puede quitar el
modo SETGID de dicho ejecutable, o bien configurar sus permisos para que
solo pueda ser invocado por usuarios de confianza.

Solaris 2.5.1 parece no estar afectado. No muestra información de huso
horario (la variable de entorno TZ).

Solaris 2.6, 7 y 8 son vulnerables.

Bajo plataforma x86 el problema parece explotable fácilmente, mientras
que en Sparc, aunque el programa también falla, parece que sacarle
partido es más complejo o imposible.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Solaris ipcs vulnerability:
http://www.eeye.com/html/Research/Advisories/AD20010411.html

Solaris IPCS Timezone Buffer Overflow Vulnerability:
http://www.securityfocus.com/bid/2581

Solaris ipcs vulnerability:
http://www.securityfocus.com/archive/1/176216



miércoles, 25 de abril de 2001

Vulnerabilidad en IPSwitch IMail 6.06 SMTP


Existe una vulnerabilidad en demonio de Imail 6.06 SMTP por la cual un
atacante podrá tener acceso al sistema que soporta este servidor de
correo y lograr la ejecución de comandos en el mismo.
Un atacante podrá ganar privilegios dentro del sistema que albergue el
mencionado servidor de correo. Esto es posible debido a que IMail no
verifica convenientemente las peticiones de validación realizadas a
IMail Mailing List, lo que posibilitará que al asaltante el envío de un
paquete especialmente malformado y la posterior posibilidad de ejecutar
comandos dentro del sistema.

Para poder realizar este ataque, se deberá conocer el nombre de alguna
de las listas de envío activas de IMail. Para conseguir esto, tan sólo
tendrá que enviar un mensaje a la dirección imailsrv@ejemplo.com, en el
que escribirá en el cuerpo del mensaje únicamente "list". Posteriormente
una vez haya obtenido las listas operativas procederá a iniciar una
sesión SMTP, en la cual utilizará una cantidad de mas de 829 caracteres
para producir el desbordamiento de buffer y de esta forma poder lograr
ejecutar comandos dentro del servidor.

eEye Digital Security, descubridores de esta vulnerabilidad, proporciona
un ejemplo de cómo un atacante puede lograr explotar el problema.

Client SMTP Session -> IMAIL SMTP
- ---------------------------------
helo eeyerulez
mailfrom: <>
rcpt to: valid_mailing_list
data
From: [buffer de 829 caracteres] example.com
To: Whatever
wohooo!
.
quit

Existe un parche que evita este problema disponible para todos los
usuarios de IPSwitch´s IMail 6.06 SMTP, en la dirección:

http://ipswitch.com/support/IMail/patch-upgrades.html



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

eEye Digital Security
http://www.eeye.com/html/Research/Advisories/AD20010424.html



martes, 24 de abril de 2001

Vulnerabilidad en los servidores NTP

La implementación más popular del demonio NTP (Network Time Protocol)
contiene un problema de seguridad que permite la ejecución de código
arbitrario en el servidor NTP, típicamente con privilegios de
administrador o "root".

NTP es un protocolo estándar para la sincronización de relojes de
máquinas interconectadas a través de redes de datos, en particular
Internet. Este protocolo permite que el reloj de un sistema mantenga una
gran precisión, independientemente de su calidad intrínseca y de las
condiciones de la red.

Ni que decir tiene que el poder garantizar una gran calidad en el reloj
de un sistema es muy importante a nivel de servidores para, por ejemplo,
mantener un sistema de logs y auditoría preciso, sobre todo si se están
comparando ficheros de máquinas distintas.

El problema se localiza en la generación del datagrama de respuesta a
una petición maliciosa. No es posible limitar las peticiones a
servidores confiables, por cortafuegos, ya que el protocolo NTP utiliza
UDP como medio de transporte, y falsear datagramas UDP es trivial.

Los administradores que no requieran un control extremadamente preciso
del tiempo, puede eliminar el servidor NTP de sus sistemas, y
sincronizar sus máquinas periódicamente utilizando comandos como "rdate"
o "ntpdate".

Si es posible, deben actualizarse el NTP a la versión 4.0.99k23, del 11
de Abril. Existe una versión con la misma numeración, pero anterior en
fecha, que es vulnerable.

Gracias a que NTP se distribuye en código fuente, existen parches que se
pueden aplicar si no es posible actualizar el demonio ni retirarlo del
servicio:


- --- ntpd/ntp_control.c.20010412 Mon Apr 9 15:47:20 2001
+++ ntpd/ntp_control.c Thu Apr 12 17:11:47 2001
@@ -1759,9 +1759,11 @@
}
if (cp < reqend)
cp++;
- - *tp = '\0';
- - while (isspace(*(tp-1)))
- - *(--tp) = '\0';
+ while (tp > buf) {
+ *tp-- = '\0';
+ if
(!isspace((int)(*tp)))
+ break;
+ }
reqpt = cp;
*data = buf;
return v;


El problema parece afectar también a algunos entornos integrados, como
las versiones 11.x del IOS de Cisco. Este extremo, no obstante, no ha
sido confirmado.

Más información:

ntpd remote root exploit:
http://www.securityfocus.com/archive/1/174011

DSA-045-2 ntpd: remote root exploit:
http://www.debian.org/security/2001/dsa-045

There is a potentially exploitable buffer overflow in the xntp3 package:
http://www.linuxsecurity.com/advisories/other_advisory-1273.html

Subject: [suse-security-announce] SuSE Security Announcement: xntp:
http://www.suse.com/de/support/security/2001_010_xntp.txt

Network Time Daemon (ntpd) has potential remote root exploit:
http://www.redhat.com/support/errata/RHSA-2001-045.html

SCO:
ftp://ftp.sco.com/SSE/sse074.ltr
ftp://ftp.sco.com/SSE/sse073.ltr

ntpd contains potentital remote compromise:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01%3A31.ntpd.asc

NTP remote buffer overflow:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01%3A31.ntpd.asc

NTP:
http://www.ntp.org/
http://www.ntp.org/ntp_spool/ntp4/ntp-4.0.99k23.tar.gz




Jesús Cea Avión
jcea@hispasec.com



lunes, 23 de abril de 2001

Movimientos en la Agencia de Protección de Datos (APD)

La Agencia de Protección de Datos demuestra en los últimos días un
incremento en su actividad. Todo ello debido a la falta de conciencia
por parte de las empresas sobre la necesidad de dar protección a los
datos que sus usuarios les han confiado.
En fechas recientes, el Director de la APD, Juan Manuel Fernández
López, compareció ante la comisión pertinente del senado con el fin de
explicar el incumplimiento por parte de Microsoft de la Ley de
Protección de Datos de Carácter Personal. Microsoft Ibérica cedió
datos de sus clientes españoles a la central estadounidense. Esta
falta está considerada como grave y ha sido sancionada con 10 millones
de pesetas. Y hay que tener en cuenta que esta sanción era la menor
de las posibles ya que para este tipo de faltas las sanciones oscilan
entre 10 y 50 millones.

Durante su comparecencia el Sr. Fernández López reseñó algunos datos de
un estudio del sector del comercio electrónico del que se ha obtenido el
dato poco tranquilizador de que sólo el 50% de las tiendas de comercio
electrónico utilizan HTTPS para las transacciones de sus clientes. A
finales del pasado año la APD inspeccionó 44 webs de empresas de venta a
través de Internet, en un 27% de los casos estudiados se observó falta
de información al internauta sobre el tratamiento que se iba a hacer de
su información así como de la no identificación del responsable de los
datos informáticos. Un 36% de las compañías no estaban inscritas en el
registro general de protección de datos de empresas dedicadas al
comercio electrónico.

Igualmente la APD abrió recientemente un expediente sancionador a
Telefónica Data al quedar los datos de los usuarios de su servicio
"Megavía ADSL" expuestos en Internet. Por este fallo se podía acceder
a datos personales de sus usuarios tales como el nombre, contraseña y
teléfono.

La Audiencia Nacional es la instancia encargada de ver los recursos a
las sanciones impuestas por la APD. La imposición de una sanción
mínima para todos los casos sancionado últimamente se debe según el
Director de la APD, a la potestad que tiene la Audiencia Nacional para
rebajar las sanciones al mínimo en casos excepcionales, algo que está
utilizando como habitual.



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

La Agencia de Protección de Datos abre un expediente contra Telefónica
Data
http://ibrujula.com/news/noticia.php3?id=15917

La APD impone 10 millones de pesetas de multa a Microsoft Ibérica
http://ibrujula.com/news/noticia.php3?id=15899

La mitad de los webs de comercio electrónico no garantizan los datos
personales del cliente:
http://www.larazon.es/lared/laredcom.htm



domingo, 22 de abril de 2001

Ataque DoS a Novell BorderManager Enterprise Edition 3.5

Un cliente de un servicio VPN (Red Privada Virtual) puede enviar un
alto número de peticiones al puerto 353 lo que causará el cierre de
dicho puerto. El servicio deberá ser reiniciado para conseguir recuperar
su normal funcionamiento.
Novell BorderManager es una suite de administración de seguridad
encargada de actuar como cortafuegos, VPN y autentificación.

BorderManager abre el puerto 353 con el fin de realizar el intercambio
de claves como contestación a una petición previa de utilización de la
VPN entre el cliente y el servidor de intercambio de claves. Si el
cliente envía una cantidad de peticiones SYN (rondando las 256) al
acceso abierto por el servidor, dará como resultado la caída del
servicio y el siguiente mensaje de error "No more TCP/IP client
connections are available". Esto obligará al servidor a realizar la
transmisión de la información de forma insegura, hasta que se reinicie
el servicio.

Ejemplo:

for /l %%h in (1, 1, 300) do nc -d -z 192.168.1.1 353

Aquellos usuarios que se vean afectados por este problema podrán
provisionalmente solucionarlo siguiendo los siguientes pasos:

(1) Descargar VPMASTER.NLM
(2) Descargar AUTHGW.NLM
(3) Reiniciar el sistema
(4) Cargar AUTHGW.NLM
(5) Cargar VPMASTER.NLM



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1



sábado, 21 de abril de 2001

Ataque DoS a Cisco Switch Catalyst 5000

La serie 5000 de los conmutadores de Cisco, se ven afectados por una
vulnerabilidad que si llega a ser explotada por un atacante podrá hacer
Caer la VLAN (red virtual de área local) de la que forme parte el
Catalyst 5000.
El ataque DoS puede provocar que el concentrador deje de responder
a los comandos de gestión vía SNMP, Telnet o HTTP, si bien siempre
se podrá administrar a través del puerto de consola.

Según la versión de hardware se ven afectados las versiones EARL 1, EARL
1+ y EARL 1++. Mientras que según el software se ven afectados las
versiones 4.5 (11) o anterior, 5.5 (6) o anterior y 6.1 (2) o anterior.
Para conocer la versión de hard/soft del switch, solamente tendrá que
interrogarlo a través de la consola con el comando sh mod.

Cisco ha informado que los mencionados problemas se verán solucionados
con las siguientes actualizaciones de software:
4.5 (12) o posterior (prevista antes del 1 de mayo de 2001)
5.5 (7) o posterior
6.1 (3) o posterior

No se han detectado ataques intencionados aprovechando esta
vulnerabilidad, si bien se han dado casos en redes donde se han
instalado la beta de Windows XP ya que este sistema intenta la
autentificación 802.1x durante la fase de inicio. Este problema puede
evitarse desactivando la opción "Network Access Control using IEEE
802.1x" en Windows XP, que se puede encontrar en la pestaña
autentificación en las propiedades de las conexiones de la red local.



Antonio Roman


Más información:

Cisco Security Advisory:

http://www.cisco.com/warp/public/707/cat5k-8021x-vuln-pub.shtml



viernes, 20 de abril de 2001

Grave vulnerabilidad en PGP para Windows

Todas las versiones de PGP para Windows posteriores a la 5.0 (incluida)
se ven afectadas por una grave vulnerabilidad por la cual una acción tan
habitual como incorporar una clave pública o verificar una firma adjunta
en un archivo puede provocar la ejecución de código en la máquina.
Este problema ha pasado desapercibido a lo largo de un gran número de
versiones del programa viene heredado desde la versión 5.0, hasta que
@stake lo ha descubierto recientemente. El problema reside en la
envoltura ASCII con que PGP dota a determinados archivos, el ejemplo más
clásico el fichero que contiene la clave pública de un usuario. Los
archivos críticos son aquellos que contienen claves de usuarios
(publicas y/o privadas), archivos de firmas separados y archivos
cifrados.

En general se puede determinar que las extensiones que comúnmente
representan archivos PGP con una armadura ASCII son los .asc (archivos
genéricos con envoltura ASCII), .pgp (archivos cifrados PGP) y .sig
(archivo de firma PGP separada).

La vulnerabilidad recae en el analizador encargado de procesar el
armazón ASCII de los ficheros afectados, de forma que si dicha armadura
ASCII se construye de forma maliciosa un atacante podrá esconder un
ejecutable dentro del archivo. Así, cuando PGP procese dicho archivo
malicioso, el ejecutable quedará grabado en el directorio de trabajo.

La única señal para el usuario de que ha ocurrido algo extraño es la
aparición de un mensaje de error en el que se indicará que el archivo no
contenía ningún tipo de información PGP.

El problema se agrava si el archivo extraído es una DLL, ya que debido a
la forma en que Windows carga estas librerías muchas aplicaciones pueden
ser engañadas para cargar la DLL maliciosa y de esta forma lograr la
ejecución automática del código. En este caso la ejecución del código
incluido en la DLL es debido al propio funcionamiento de Windows, no a
ningún problema interno de PGP.

Network Associates ha publicado el parche que corrige este problema para
las versiones 7.0.4 y 7.0.3 por lo que se recomienda a todos los
usuarios de esta suite de seguridad su actualización y la aplicación del
correspondiente parche. Los parches correspondientes pueden descargarse
de las siguientes direcciones:
PGP Desktop Security 7.0.4 Hotfix 1:

http://download.nai.com/products/licensed/pgp/desktop_security/windows/
version_7.04/hotfix/PGPDS704Hotfix1.zip
PGPfreeware 7.0.3 Hotfix 1:

http://download.nai.com/products/freeware/pgp/windows/version_7.03/
hotfix/PGPfreeware703Hotfix1.zip

Para demostrar la gravedad del problema @stake ha creado un archivo .sig
que al ser procesado por PGP crea una dll con el nombre pgpsc.dll en el
directorio actual.



Antonio Ropero
antonior@hispasec.com


Más información:

@stake:
http://www.atstake.com/research/advisories/2001/a040901-1.txt

Kriptopolis:
http://www.kriptopolis.com/jmg/20010419.html


jueves, 19 de abril de 2001

Virus y teléfonos móviles

Nueva entrega de los contenidos y entrevistas adicionales que
acompañan a la comparativa antivirus 2001 desarrollada por Hispasec,
publicada en el número de abril en la revista PC-Actual y próximamente
en www.hispasec.com.
Durante el pasado año el tema de los virus y ataques a teléfonos
móviles ha tomado un especial protagonismo. Aunque gran parte de lo
que se dice corresponde a la mitología de Internet y a simples
"hoaxs" (bulos) sin ningún fundamento técnico. Resulta curioso ver
como algunos de estos avisos totalmente falsos, que se caracterizan
por afirmar que ante la recepción de un determinado tipo de llamada
el terminal podrá quedar totalmente inutilizable, saltan a medios
de prensa habitual e incluso las propias operadoras los dan como
ciertos en sus páginas web.

Entre los incidentes reales más destacables nos encontramos con el
gusano "Timofónica", que si bien infectaba PCs tenía como payload
(efecto) el envío de mensajes SMS aprovechando una pasarela de
Internet.

El i-worm "Timofónica" envía mensajes a móviles (5-06-2000)

http://www.hispasec.com/unaaldia.asp?id=587

En lo que respecta a creaciones específicas para dispositivos
móviles nos encontramos con varios troyanos para EPOC, el sistema
operativo de 32bits diseñado por Psion.

Virus y troyanos en ordenadores de mano (3-08-2000)

http://www.hispasec.com/unaaldia.asp?id=647

Durante la entrevista con los presidentes de AVP y Panda también
charlamos sobre lo que nos puede deparar esta nueva corriente de
especímenes:

- Este año pasado también se ha hablado mucho de telefonía móvil en
relación a los virus, sin embargo, aún es un campo que, por fortuna,
no ha sido explotado. ¿Cuáles son los factores que dificultan hoy
por hoy la generación de virus/gusanos para esta plataforma?

Habla Eugene Kaspersky (presidente de Kaspersky AntiVirus - AVP)

Si, tuvimos muchas consultas al respecto cuando antes del verano del
pasado año descubrimos Timofónica, un virus que realizaba spam con
mensajes cortos (SMS) a teléfonos móviles GSM. Aunque el efecto del
virus era mandar mensajes cortos a través de Internet aprovechando
una pasarela SMS de MoviStar, en realidad no podía introducir ningún
tipo de código en los teléfonos móviles, y su replicación seguía
basándose en los ordenadores tradicionales.

Aunque en la actualidad no existan virus 100% operativos para
telefonía móvil, es de prever que hagan su aparición en breve, ya
que los dispositivos de última generación no están ni mucho menos
informatizados que un ordenador personal. Habrá sistemas operativos,
procesadores de texto, hojas de cálculo, editores incorporados, etc.,
permitiendo que los usuarios creen sus propios ficheros ejecutables
y que sean fácilmente intercambiables entre dispositivos sin hilos.

Por ejemplo, hoy día existe la posibilidad de crear virus para móviles
basándose en los teléfonos WAP. De momento somos muy afortunados
porque los creadores de virus no han podido acceder a las herramientas
de desarrollo adecuadas.

¿Cómo los operadores de telefonía móvil pueden contrarrestar el ataque
de un hipotético virus para WAP? De la misma forma que los virus se
detectan y eliminan en el correo electrónico hoy día. Habrá programas
antivirus instalados en los gateways de WAP que filtrarán
constantemente el tráfico.

Habla Mikel Urizarbarrena (presidente de Panda Software)

La telefonía móvil está caracterizada por disponer de hardware variado
y de capacidad limitada. Además, no existe un sistema operativo sobre
el que los virus puedan ejecutarse o provocar infecciones.

A pesar de que la tecnología WAP podría ser una base sobre la que
puedan proliferar los virus, se ha visto que es muy limitado para que
los virus puedan actuar hoy por hoy.

De cara al futuro, parece que el sistema i-mode puede ser una
plataforma suficientemente potente y portable como para que los virus
puedan proliferar. Sin embargo esto no será posible hasta que se
extienda el uso de Java en estos sistemas.

Creo que la tecnología móvil es un campo muy a tener en cuenta y que
en el plazo de un año puede convertirse en una nueva vía de infección.
En Panda estamos investigando este campo desde hace casi un año, así
que es muy posible que exista un Panda para Móviles.




Bernardo Quintero
bernardo@hispasec.com



miércoles, 18 de abril de 2001

El servidor web iPlanet puede revelar información confidencial

iPlanet Web Server Enterprise Edition 4.x se ve afectado por un grave
problema por el cual un atacante podrá obtener de forma remota
información de anteriores transmisiones web, lo que puede incluir
nombres de usuario y passwords, cookies, identificadores de sesión, etc.
iPlanet Web Server se ve afectado por una vulnerabilidad que puede
permitir a cualquier atacante remoto obtener datos de la memoria
asignada en el servidor. Los datos recuperados suelen consistir en
fragmentos de las peticiones y respuestas HTTP anteriores. Esta
información puede contener identificadores de sesión, cookies, datos
introducidos en formularios, nombres de usuario y passwords, etc.

El atacante deberá reproducir el ataque en diversas ocasiones con objeto
de conseguir información necesaria para comprometer el sistema o acceder
como si de un usuario legal se tratara. El problema se agrava con la
consideración de que iPlanet Web Server se emplea como servidor en
aplicaciones de gran tamaño con grandes requisitos de proceso, bancos,
comercio electrónico, etc.

IPlanet ha publicado un Service Pack (SP7) y un módulo NSAPI para cubrir
esta vulnerabilidad. Para paliar este problema se recomienda la
actualización urgente a iPlanet Web Server versión 4.1sp7 (mediante la
instalación del SP7) o bien la instalación del módulo NSAPI. Cualquiera
de las dos medidas evitan el problema, aunque se recomienda la
instalación del Service Pack 7.

La actualización puede encontrarse en:

http://www.iplanet.com/products/iplanet_web_enterprise/iwsalert4.16.html



Antonio Ropero
antonior@hispasec.com


Más información:

Important iPlanet Web Server 4.x Product Alert:
Recommend Immediate Patch/Upgrade
http://www.iplanet.com/products/iplanet_web_enterprise/iwsalert4.16.html



martes, 17 de abril de 2001

Peligro al efectuar doble click desde Explorer

Georgi Guninski avisa del peligro que puede representar efectuar doble
click sobre el nombre de un archivo cuando se navega por Internet. Se
puede provocar la ejecución de un archivo a pesar de que este tenga una
extension aparentemente inocente.
Efectuar un doble click desde Window Explorer o Internet Explorer en
nombres de archivos con extensiones inocentes puede ser empleado por un
webmaster malicioso para provocar la ejecución de código arbitrario. El
problema reside en la utilización de un CLSID determinado como extensión
real.

Así por ejemplo, el atacante ofrecerá en una pagina web o en un mensaje
e-mail html el archivo
testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
pero Windows Explorer e Internet Explorer no mostrarán el CLSID
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} con lo que el usuario sólo
visualizara la extensión .txt (aparentemente inocente), cuando realmente
se trata de un archivo .hta con posibilidad de ejecución y de contener
código malicioso.



Antonio Ropero
antonior@hispasec.com



lunes, 16 de abril de 2001

Lotus Domino afectado por múltiples denegaciones de servicio

Se han descubierto diversas vulnerabilidades de denegación de servicio
en el servidor web de Lotus Domino. Los problemas afectan a todas las
versiones y plataformas de Lotus Domino R5 anteriores a la 5.0.7.
Los problemas encontrados son los siguientes:
DoS en la cabecera HTTP: El fallo afecta a las cabeceras "Accept",
"Accept-Charset", "Accept-Encoding", "Accept-Language" y "Content-Type".
El problema reside en que valores únicamente enviados con estas
cabeceras no son liberados adecuadamente. De forma que si el atacante
envía repetidos peticiones con varios campos accept podrá hacer que el
servidor consuma toda la memoria física. Esto hará que o bien el
servidor Lotus se cuelgue siendo necesario reiniciarlo, o bien que deje
de responder al puerto 80 auqnue sin llegar a bloquearse, lo que también
precisará reiniciarse para devolver el correcto funcionamiento del
servidor.

DoS por caracteres Unicode: Enviando determinada combinación de
caracteres unicode en una petición GET provocará una excepción en el
servidor que provocará la caída del servidor Domino.

DoS por dispositivo DOS: Este problema de denegación de servicio sólo
afecta a las plataformas Windows y OS/2. Si un atacante accede a
dispositivos DOS a través del servidor web a través de un determinado
directorio abrirá un proceso para tratar la ejecución. Este proceso no
finalizará, después de aproximadamente 400 peticiones de esta forma el
servidor dejará de aceptar peticiones TCP al puerto 80.

DoS CORBA: Una cadena continua de conexiones con una determinada carga,
seguida de un retorno a un puerto TCP, provocará que la CPU alcance una
carga del 100%. Durante el ataque se notará como la memoria se va
llenando lentamente y el disco duro estará escribiendo continuamente. La
CPU seguirá al 100% una vez finalizado el ataque.

Interpretación de URL: Peticiones HTTP de gran tamaño provocarán un alto
consumo de CPU.

Como solución para todos estos problemas se sugiere la actualización a
Notes/Domino 5.0.7
mediante http://www.notes.net/qmrdown.nsf/QMRWelcome La vulnerabilidad
de interpretación de URL fue cubierta en Lotus Domino 5.0.6, mientras
que el resto están cubiertas con la versión QRM 5.0.7.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:

http://www.securityfocus.com/archive/1/175658



domingo, 15 de abril de 2001

Windows XP, ¿el final de los virus informáticos?

Este artículo forma parte de los contenidos de la Comparativa Antivirus
2001, en él se incluyen los comentarios de Eugene Kaspersky y Mikel
Urizarbarrena, presidentes de AVP y Panda Software respectivamente,
así como de "Zulu", el creador de virus-scripts más destacado de los
últimos tiempos. Junto a ellos analizamos las nuevas características
de seguridad que Windows XP puede incorporar en un intento de frenar
la actividad de los virus informáticos.
A finales de noviembre, un portavoz de Microsoft, Jim Ewel, dejaba
entrever en una conferencia en Londres algunas de las nuevas
características que Windows XP, por aquel entonces conocido como
Whistler, incorporaría en materia de seguridad. El anuncio de que
Whistler podría bloquear cualquier aplicación que no contara con un
certificado digital suscitó tanto interés como polémica.

En respuesta a los problemas de los virus que utilizan el correo
electrónico, Microsoft planeaba extender la nueva característica a
"cada porción de código que pueda ejecutarse en la máquina"", comentó
Ewel. A la espera de que Microsoft arroje más luz sobre esta
funcionalidad, este anuncio ha suscitado de nuevo un debate sobre la
posibilidad de crear un entorno seguro contra virus informáticos.

Para comprender mejor en qué consistiría esta característica, basta
con conocer el modelo de seguridad en el que se basan los controles
ActiveX. Estos componentes en su aplicación en Internet son muy
similares en aspecto a los applets de Java, ya que pueden formar parte
de cualquier página web, con el peligro potencial que eso podría
acarrear.

Microsoft, a diferencia de Sun cuando desarrolló Java, no limitó en
ningún momento la capacidad de estos controles. Un ActiveX puede
llevar a cabo cualquier tipo de acción en el sistema, si bien siempre
debe estar convenientemente identificado con un certificado digital
que proporcione información sobre quién lo ha desarrollado. Si el
desarrollador es fiable, el sistema lo ejecuta directamente, si no lo
es o carece de certificado, el sistema informa al usuario que es él
quien decide en última instancia si desea ejecutarlo o no. Un sistema
sencillo y que deja finalmente la patata caliente al usuario, pero que
se muestra efectivo apenas se aplique algo de sentido común.

El anuncio de Microsoft en relación a Windows XP extendería esta
filosofía a todo el sistema operativo. Es decir, podríamos configurar
un entorno donde sólo se permitiera la ejecución de las aplicaciones
que vengan firmadas digitalmente por ciertos desarrolladores y negar
el permiso a cualquier otro código. Esto, sin duda, representa un paso
hacia una solución genérica al problema planteado por los virus
informáticos y al malware en general.

A la espera de conocer más detalles sobre esta nueva característica, y
ver finalmente cuál es la implantación real (y libre de fallos),
parece claro que se trata de una funcionalidad que podría tener su
mayor acogida en entornos corporativos. Un administrador de red podría
controlar con exactitud qué software tiene permiso de ejecución en su
compañía, por ejemplo aquellos códigos que vengan firmados por
Microsoft o por el propio certificado de su empresa. De esta forma, el
administrador firmaría los propios desarrollos de la empresa o el
software propietario que está reconocido por la compañía, y evitaría
la ejecución de cualquier otra aplicación, incluido virus, programas
que los usuarios se intenten bajar de Internet, etc.

Desde el punto de vista del usuario la cosa cambia bastante, ya que es
un consumidor habitual de shareware y freeware. Es bastante improbable
que los desarrolladores de este tipo de software paguen el registro de
un certificado digital para después regalar sus aplicaciones. La
experiencia también dicta que el usuario tiende a desatender las
pantallas de peligro y al final opta por inhabilitar este tipo de
sistemas de seguridad para ganar en comodidad. En cualquier caso,
sería un buen momento para que los programadores Windows optasen por
la filosofía de código abierto, solución óptima para todos.

Tanto las casas antivirus como los creadores de virus ven con bastante
recelo este tipo de iniciativas, sino juzgad por los comentarios.
Tal vez sea una buena señal.


La opinión de Mikel Urizarbarrena, presidente de Panda Software


Sobre el papel, este sistema puede representar un avance significativo
en el campo de la seguridad. Ninguna aplicación que no esté firmada
digitalmente podrá ser ejecutada en la red, ninguna. En la práctica,
está por ver la acogida que tendrá entre los administradores y los
usuarios.

Es posible que inicialmente el sistema tenga una gran aceptación entre
los administradores de red, pero creo que los inconvenientes que
presenta acabarán por desaconsejarlo. ¿qué ocurrirá cuando estos vean
que esa utilidad shareware que acaban de descubrir y que soluciona sus
problemas no puede ejecutarse mientras esté el sistema activado, pues
no ha sido certificada por Microsoft?

¿Qué sucederá con los pequeños fabricantes de software?, tendrán que
adquirir certificados digitales con el coste adicional que conlleva o
se les obligará a ser certificados por Microsoft. Si Microsoft hubiese
optado en sus comienzos por un sistema como éste, seguramente sus
productos no hubiesen alcanzado tanto éxito.

Además, un sistema de este tipo animará sin duda a los creadores de
virus, pues si consiguiesen burlarlo introduciendo en una red este
tipo un virus con firma digital, por la propia naturaleza del sistema,
el virus correría a sus anchas por todos los ordenadores de la red.
Los usuarios lo ejecutarían sin ningún temor creyéndose protegidos.

El efecto de este sistema de certificados podría compararse a
desconectar un ordenador de la red y quitarle las disqueteras y CDs.
El ordenador en este caso estará completamente protegido de virus,
pero, ¿seguirá resultándonos útil?


La opinión de Eugene Kaspersky, presidente de Kaspersky AntiVirus (AVP)


En los sistemas modernos hay demasiados tipos de ficheros ejecutables,
programas que pueden acceder a los componentes del ordenador. También
es muy complicado que un sistema no tenga problemas, incluyendo
agujeros de seguridad. Por todo ello, creo que los virus seguirán
existiendo aunque el entorno contemple la seguridad basada en
certificados digitales.

Es posible desarrollar un entorno completamente protegido por la
comprobación de firmas digitales, ¡pero los usuarios no lo usarán!,
porque un entorno de este tipo no es lo suficientemente amigable...
demasiadas limitaciones, demasiados avisos, demasiadas preguntas.


La opinión de "Zulu", creador de virus (LIFE_STAGES, BubbleBoy, Freelinks,
etc).


Sinceramente lo veo como algo ridículo. Si esta tecnología ya fracasó
con los drivers para Windows 2000, es mucho mas probable que fracase
con aplicaciones, ya que existen más cantidad de aplicaciones que de
drivers y un usuario normal instala más aplicaciones que drivers.
¿Acaso alguno usa controladores de NVIDIA o Via que estén firmados
digitalmente?, no me parece... Uno terminada deshabilitando el warning
o aceptando por costumbre el cartelito de aviso de driver no firmado
digitalmente.

Mi opinión (Bernardo) independiente al respecto es bastante escéptica,
no tanto por la idea, que en la teoría me parece muy útil, sino por la
implementación que al final se realice de ella. Resulta bastante
extraño que Microsoft, tan dada a los problemas de seguridad en sus
sistemas y que ha protagonizado prácticamente dos revoluciones en el
mundo de los virus (macros e Office y el compendio Outlook/VBS), pueda
resolver de un día para otro un problema de esta envergadura.

Por otro lado, también me quedan bastantes dudas en el aspecto técnico
y práctico de la solución, por ejemplo, cómo este esquema va a
proteger la interpretación de scripts o los problemas de seguridad de
terceras aplicaciones. Imaginemos que tengo AutoCAD registrado en mi
Windows XP con su correspondiente certificado digital seguro y
confiable, por tanto, totalmente validado en mi sistema. Sin embargo,
cada vez que abra un nuevo proyecto con este programa tengo el peligro
potencial de contagio, ya que es factible realizar un virus en el
lenguaje de automatización de AutoCAD.

Este artículo, parte de los contenidos de la Comparativa Antivirus
2001, fue redactado antes de que se produjera el fiasco protagonizado
por VeriSign con la emisión de certificados falsos a nombre de
Microsoft. Tal y como anunciábamos entonces, la publicidad y el
soporte a este incidente por parte de las casas antivirus podía tener
una segunda lectura basada en el contenido del presente artículo.

Los certificados falsos emitidos a nombre de Microsoft podrían haber
sido aprovechados para crear un virus o gusano firmado digitalmente
que traspasara sin ningún tipo de problemas la seguridad de
Windows XP, incluso de forma más efectiva que los actuales gusanos
ya que se trataría de código confiable. No es de extrañar entonces
que las casas antivirus pusieran cierto enfasis en publicitar el
incidente que vendría a demostrar la debilidad de este sistema
global contra el malware que amenaza con desplazar a las soluciones
antivirus actuales.



Bernardo Quintero
bernardo@hispasec.com


Más información:

26/03/2001 - Microsoft y certificados falsos de VeriSign
http://www.hispasec.com/unaaldia.asp?id=883

02/04/2001 - Hispasec realiza su tercera comparativa anual de antivirus
http://www.hispasec.com/unaaldia.asp?id=890

Windows XP
http://www.microsoft.com/windowsxp/

Whistler to block maverick code
http://www.zdnet.com/zdnn/stories/news/0,4586,2655786,00.html

Signed code: Security or censorship?
http://uk.news.yahoo.com/001127/15/aqa88.html



sábado, 14 de abril de 2001

Vulnerabilidad en Solaris a través de snmpXdmid

Las sistemas Solaris 8.0. Solaris 7.0. Solaris 2.6 se ven afectados por
un problema de desbordamiento de búfer en SnmpXdmid por el cual un
usuario malicioso podría llegar a lograr la ejecución de código en lla
máquina atacada.
SnmpXdmid es un demonio que hace de puente o interfaz entre SNMP (Simple
Network Management Protocol) y DMI (Desktop Management Interface). Las
versiones vulnerables de snmpXdmid contienen un desbordamiento de búfer
que permite la ejecución de código arbitrario como "root".

Este ataque se está empleando en la actualidad contra múltiples sitios
que han reportado diferentes rastros en los sistemas comprometidos. Se
ha detectado una evidencia de extensos escaneos contra servicios RPC
(puerto 111/udp,tcp) con peticiones explícitas contra el puerto del
servicio snmpXdmid antes del intento de explotar la vulnerabilidad.

También se ha encontrado una copia adicional de inetd en ejecución (esta
copia emplea /tmp/bob como archivo de configuracíon). En los sistemas
afectados se han instalado diversos troyanos, un proxy IRC y un sniffer
instalado en /usr/lib/lpset.

A la espera del parche oficial de SUN, la recomendación es deshabilitar
el servicio snmpXdmid o restringir los accesos a snmpXdmid y otros
servicios RPC.



Antonio Ropero
antonior@hispasec.com


Más información:

Cert:
http://www.cert.org/advisories/CA-2001-05.html



viernes, 13 de abril de 2001

Graves vulnerabilidades en múltiples demonios FTP

Múltiples implementaciones de los servidores FTP tienen un problema de
desbordamiento de búfer que puede permitir a un atacante remoto
conseguir privilegios de administración en las máquinas afectadas.

El problema, que afecta a los demonios FTP de las plataformas FreeBSD
4.2, OpenBSD 2.8, NetBSD 1.5, IRIX 6.5.x, HPUX 11 y Solaris 8, tiene
relación con el uso de la función glob() y está supeditado a que el
atacante tenga la posibilidad de crear directorios en el servidor.

La implementación de la función glob() depende del propio demonio. En
la mayoría de los casos reside dentro del propio dominio, aunque en
algunos casos está bajo libc. Un número de vulnerabilidades resultan
de la presunción del demonio FTP en el que se asume que el número de
caracteres recibidos del usuario está limitado (con un límite típico de
512 caracteres). Este supuesto resulta en un problema ya que la mayoría
de los demonios tienen una regla para procesar los nombres de ruta que
comienzan con una tilde, con la intención de reemplazar este carácter
con el directorio home. Sin embargo, esto se realiza a través de la
función glob() por lo que el demonio FTP también expande cualquier otro
carácter comodín presente. De esta forma, la entrada del usuario podrá
sobrepasar los límites definidos.

Por otra parte, algunas implementaciones de la función glob() contienen
un problema de desbordamiento de búfer por si mismo. Estos
desbordamientos se pueden provocar típicamente al realizar una petición
de un patrón que expanda una ruta muy larga.

Hasta la publicación de parches que corrijan este problema, las
vulnerabilidades deberán ser cubiertas asegurándose de que en el árbol
FTP no existen directorios que tengan permisos de escritura por
usuarios anónimos. Además los administradores de BSD e Irix deberán
comprobar que no existen directorios en el árbol FTP anónimo con un
nombre de más de ocho caracteres. Estas precauciones sólo limitan la
posibilidad de explotar la vulnerabilidad por usuarios remotos y no
proporcionan remedio contra una escalada de privilegios de un usuario
local.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de serguridad de Covert Labs:
http://www.pgp.com/research/covert/advisories/048.asp

CERT:
http://www.cert.org/advisories/CA-2001-07.html



jueves, 12 de abril de 2001

Vulnerabilidad en Navision Financials Server 2.50 y 2.60

Navision Financial Server en sus versiones 2.50 y 2.60 se ve afectado
por una vulnerabilidad por la cual un atacante puede llegar a realizar
un ataque de denegación de servicio contra el servidor.
Navision Financial es una aplicación desarrollado especialmente para el
control contable y financiero de una empresa y que corre sobre los
sistemas operativos de Microsoft, Windows NT y 2000.

Este software se ve afectado por un problema de seguridad de forma que
si un atacante envía contra el puerto 2047 un carácter nulo seguido de
más de 30.000 bytes de caracteres tipo "A" provocará una denegación de
servicio y la consecuente terminación del proceso (Server.exe). Este
desbordamiento no parece que pueda llegar a ser explotable para la
ejecución de código en la máquina atacada.

El ataque de denegación puede ser llevado a cabo de forma mucho más
"silenciosa" mediante el envía de una cantidad menor de caracteres en
diversas conexiones consecutivas. Así de esta forma se conseguirá matar
el proceso de forma silenciosa mediante 10 conexiones formadas de un
carácter nulo seguido de 100 caracteres.

Con el fin de paliar esta vulnerabilidad la empresa desarrolladora del
software recomienda el deshabilitar el puerto (TCP 2407) afectado por
este ataque y conectar con el distribuidor para obtener el parche
adecuado.



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/173729

Navision:
http://www.navision.com



miércoles, 11 de abril de 2001

Problemas en Gordano NTMail 6.0.3c para Windows NT.4 y 2000

Gordano NTMail en su versión 6.0.3c, es vulnerable a un ataque por el
cual un envío masivo de datos contra determinados puertos podría
ralentizar el servicio de un modo significativo.

Gordano NTMail es un servidor de correo electrónico administrable vía
web de Gordano Ltd, es reconocido en diferentes medios por su extrema
sencillez de su manejo.

Si un atacante introdujera una cadena de más de 255 caracteres
produciría una ralentización de los servicios que presta el servidor
a través de los puertos 8000, 8025, 8080, 8888 y 9000. El ataque podría
llegar incluso a provocar la denegación total del servicio.

El vendedor ofrece un parche a disposición de los usuarios en:

ftp://ftp.gordano.com/ntmail6/hotfixes/ntmail6C_Intel_20010317.zip



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

NTMail Web Services DoS:
http://www.securityfocus.com/advisories/3168

Defcom Labs
http://www.defcom.com

Gordano
http://www.gordano.com


martes, 10 de abril de 2001

Adore Worm - La amenaza de los worms

Un nuevo gusano, llamado Adore Worm, se ha detectado recientemente
aprovechándose de las vulnerabilidades de seguridad de los sistemas
operativos de software libre. Adore parece haber empezado a expandirse
por los sistemas el día 1 de Abril.

Este gusano, originalmente llamado Red Worm, es similar a los que
últimamente hemos conocido, como Ramen and Lion. Su funcionamiento es
bastante sencillo. Hace un escaneo sobre maquinas que ejecutan Linux en
Internet y trata de determinar si ofrecen algún servicio vulnerable para
aprovecharse como: LPRng (instalado por defecto en RedHat 7.0),
rpc-statd, wu-ftpd y BIND. Solo afecta a versiones de Linux que corren
bajo arquitectura x86.

Después de encontrar un sistema vulnerable y conseguir los privilegios
en la maquina, el gusano mueve el comando "ps" a /usr/bin/adore, y lo
suplanta con una versión con troyano (posiblemente sacada de un
rootkit). Entonces envía un mail a las direcciones de correo
adore9000@21cn.com, adore9000@sina.com, adore9001@21cn.com y
adore9001@sina.com con la siguiente informacion:
* /etc/ftpusers
* ifconfig
* ps -aux <- (mediante la versión original en /usr/bin/adore)
* /root/.bash_history <- (Ultimos comandos ejecutados por el admin)
* /etc/hosts
* /etc/shadow <- (Fichero de contraseñas del sistema)

Después de esto ejecuta un paquete llamado "icmp". Con las opciones por
defecto con las que se ejecuta, el programa se pondrá a la escucha en un
puerto determinado a la espera de un paquete TCP concreto. Si el paquete
que recibe es correcto, entonces brinda al atacante una shell con
privilegios de superusuario. Por ultimo, modifica la tabla del crontab
para que a las 04:02 am hora local se borren todos los posibles rastros
que el atacante haya dejado.

Una vez que la maquina ha sido comprometida mediante las acciones
explicadas el gusano tratará de expandirse a otras maquinas realizando
una propagación de forma exponencial.

Dartmouth ISTS ha desarrollado una utilidad llamada "adorefind" que
detectará ficheros de este gusano en el sistema. Snort también servirá
para detectar este tipo de problemas.

Como posible protección podría bloquearse el envío de mails a las
direcciones expuestas, aunque es recomendable tener el sistema
actualizado frente a posibles vulnerabilidades.



Jaime Sánchez Diego



lunes, 9 de abril de 2001

Informe sobre la calidad de los servidores de nombre (DNS)

realizado durante el mes de febrero del presente año que tenía
por objeto el análisis de la configuración de los servidores de
nombres de una muestra aleatoria de 5.000 dominios .COM
El resultado del análisis muestra que un gran número de
dominios, un 80,44%, están configurados de forma errónea. Los
errores más frecuentes son la falsa delegación (errores en la
delegación del dominio, que provocan la realización de las
peticiones de resolución a servidores equivocados; el 31,82% de
los dominios tiene este tipo de errores), el uso de servidores
de nombres inexistentes (30%) o la carencia de un registro MX
(servidor de correo) para el dominio (20,01%).

Mucho más preocupante es el apartado referente a la seguridad.
Durante los últimos meses, se han detectado diversas
vulnerabilidades en algunos de los programas más habitualmente
utilizados para actuar como servidores de nombres. Estas
vulnerabilidades permiten a un atacante remoto comprometer la
máquina, con la posibilidad de obtener privilegios de administrador.
Los informes publicados por SANS Institute, indican que se trata
de la vulnerabilidad más utilizada en los ataques contra
máquinas conectadas a Internet.

Por si fuera poco, en las últimas semanas se ha informado de la
existencia de un par de vulnerabilidades de BIND (el servidor de
nombres para sistemas Unix más utilizado) que afectan a todas
las versiones anteriores a la 8.2.3. Estas vulnerabilidades son
las que utiliza el gusano "Lion" para comprometer a los sistemas
que ataca.

El análisis efectuado por Men & Mice revela que todavía un gran
número de empresas continúan utilizando versiones vulnerables de
BIND. Así, en un análisis a las empresas del "Fortune 1000" se
Determinó que a 31 de enero, el 33,3% de las mismas utilizaba
una versión vulnerable; el 13 de febrero, el porcentaje se había
reducido al 13,8% y el pasado 28 de marzo todavía un 9,98%
eran vulnerables a estos ataques.

Si se toma como base una muestra aleatoria de dominios .COM, las
cifras son todavía mayores: a 31 de enero, un 40,27% de los
servidores de DNS eran vulnerables, porcentaje que se redujo
al 10,3% el pasado 28 de marzo.



Xavier Caballé
xavier.caballe@selesta.es


Más información:

Informe de Men & Mice:
http://www.menandmice.com/dnsplace/healthsurvey.html?DHS1100

Análisis de la seguridad de los servidores de nombres:
http://www.menandmice.com/infobase/mennmys/vefsidur.nsf/index/6.1.2

Informe de SANS Institute acerca de las vulnerabilidades más
habituales:
http://www.sans.org/topten.htm
http://www.selseg.com/sans_top10/ (versión en castellano)

Vulnerabilidades recientes de BIND:
http://www.selseg.com/alertas/alerta_bind.html
http://www.hispasec.com/unaaldia.asp?id=826

Gusano LION:
http://www.selseg.com/alertas/lion.html
http://www.hispasec.com/unaaldia.asp?id=888



domingo, 8 de abril de 2001

Escalada de privilegios por el cliente FTP de Windows 2000

El cliente FTP de Windows 2000 contiene una vulnerabilidad que puede
permitir a un atacante conseguir elevar sus privilegios en el sistema.
El problema reside en un desbordamiento de búfer en el cliente FTP de
Windows 2000. El búfer definido es de 512 bytes y no se realiza ningún
control sobre dicho tamaño, por lo que si el atacante introduce un
parámetro mayor a dicho tamaño se rebasarán sus límites y se producirá
el desbordamiento. Es posible explotar este problema para lograr la
ejecución de código arbitrario en la máquina.

Para conseguir explotar el problema con éxito el atacante deberá tener
acceso de escritura a la localización de scripts de FTP, así como la
administración de ejecución de scripts de FTP (ftp -n -s:script.txt).

La única solución posible apara evitar este problema pasa por comprobar
que los scripts para FTP tienen los permisos convenientemente aplicados,
así como confirmar el contenido de cualquier script antes de su
ejecución.



Antonio Ropero
antonior@hispasec.com


Más información:

Defcon Labs:
http://www.defcom.com/



sábado, 7 de abril de 2001

Cambio de banners en PHP-Nuke

Se ha descubierto una nueva vulnerabilidad en PHP-Nukepor la cual un
atacante podrá cambiar la URL de los banners de una forma sencilla.
PHP-Nuke es un conocido software opensource para la creación y gestión
de portales bajo Linux con PHP. Este software está sumamente extendido y
son muchos los sitios que hacen uso de este sistema debido a su
sencillez de uso y configuración. No es el primer fallo que se descubre
para este sistema, todos ellos fueron convenientemente corregidos por lo
que recomendamos a los usuarios de este software que consulten las
anteriores publicaciones de Hispasec en relación a PHP-Nuke y comprueben
la correcta actualización del software.

En esta ocasión el problema descubierto hace relación a la sección de
banners del portal. En concreto, la vulnerabilidad permitirá a un
atacante la modificación de la URL de los banners por cualquier otra
dirección. El ataque es bastante sencillo y se basa en la construcción
apropiada de una URL maliciosa.

Una URL construida de la forma
http://web.vulnerable/banners.php?op=Change&bid=BannerID&url=http://nuevo.destino
permitirá a un atacante modificar la URL de cualquier banner de
los empleados en el sistema. Esto podrá hacer que la redirección del
banner cambie al sitio indicado por el usuario malicioso
(http://www.nuevo.destino).

Hay una corrección disponible para este problema en
http://phpnuke.org/download.php?dcategory=Fixes



Antonio Ropero
antonior@hispasec.com


Más información:

PHP-Nuke:
http://phpnuke.org/



viernes, 6 de abril de 2001

La seguridad de los teléfonos móviles

Arturo Quirantes nos ofrece un nuevo documento sobre criptografía, en
esta ocasión centrado en la seguridad de la telefonía celular.
El documento, en castellano, empieza con un repaso a las características
de seguridad de la telefonía fija tradicional. A continuación trata la
seguridad (o, más apropiadamente, la falta de seguridad) de la telefonía
celular TMA, popularizada en España a través del servicio MoviLine de
Telefónica.

Seguidamente Arturo detalla los problemas de seguridad en la telefonía
celular digital actual, primeramente en el estándar norteamericano y
seguidamente en el estándar GSM, utilizado en la telefonía celular
digital española (Airtel, Movistar y Amena) y de buena parte del
planeta.

Por último, Arturo Quirantes aborda las características criptográficas
de la futura telefonía de tercera generación (el últimamente tan popular
UTMS) que en esta ocasión, probablemente gracias a la experiencia ganada
con la ingeniería inversa y los ataques a los sistemas anteriores, está
basada en protocolos y algoritmos documentados y públicos.

Todo el documento está acompañado por una redacción amena y abundantes
anécdotas y enlaces de referencia (incluyendo uno a mi propio web). Se
trata, en definitiva, de un documento muy accesible y de lectura más
que recomendable para cualquiera con curiosidad sobre el tema o que crea
que sus conversaciones privadas son realmente privadas...



Jesús Cea Avión
jcea@hispasec.com


Más información:

Taller de Criptografía - Informe 26:
La seguridad de los teléfonos móviles:
http://www.ugr.es/~aquiran/cripto/informes/info026.htm

Cifrado GSM. ¿Desarrollo cerrado o desarrollo intencionado?:
http://www.argo.es/~jcea/artic/hispasec33.htm

14-12-1999 - La seguridad de GSM se tambalea:
http://www.hispasec.com/unaaldia.asp?id=413

¡¡¡EL GSM Cae!!!:
http://www.argo.es/~jcea/artic/gsm.htm



jueves, 5 de abril de 2001

Un problema de diseño permite recuperar claves secretas PGP

Un problema de diseño en el formato de almacenamiento de las claves PGP
(y variantes, como el OpenPGP) permite que un atacante con el suficiente
nivel de acceso pueda deducir una clave privada.
PGP (Pretty Good Privacy) es un reputado programa para el cifrado de
ficheros mediante tecnología híbrida de clave pública y cifrado
simétrico, que ha dado paso a una implementación alternativa
(GnuPG) y a un estándar tecnológico conocido como OpenPGP.

El ataque propuesto permite deducir la clave secreta utilizada para
firmar un fichero o documento determinado, merced a cambios controlados
en la clave privada de la víctima.

Ello es posible porque la clave privada de la víctima contiene, en
realidad, dos componentes distintos: uno es la clave pública de la
víctima, que no está protegida por ningún tipo de criptografía y está
accesible a cualquiera (se trata de la clave pública, a fin de cuentas),
y otro componente, cifrado con una "frase de paso" ("passphrase") sólo
conocida por la víctima, contiene el componente "privado" de la clave.

Un atacante con acceso al "paquete" de la clave privada del usuario, y
con privilegios suficientes para modificarlo, puede realizar
modificaciones "controladas" en el componente público de la clave del
usuario, lo que le permitirá obtener los componentes "privados" mediante
unos cálculos simples y rápidos la próxima vez que el usuario firme un
mensaje.

Si se usa la misma clave para cifrar y para firmar, la clave recuperada
permitirá descifrar también los mensajes secretos destinados a la
víctima.

El ataque es posible tanto sobre claves RSA como claves DH
(Diffie-Hellman).

El ataque es factible debido a que PGP y, por extensión, OpenPGP no
incorporan un control de integridad del componente público de la clave
secreta del usuario, lo que permite que cualquier atacante con los
privilegios de acceso necesarios pueda modificarlo. Una futura revisión
del estándar debería contemplar esa verificación.

No obstante, hay que poner las cosas en perspectiva, y considerar que:

a) El atacante debe tener acceso a la clave secreta de la víctima.
Por razones obvias, dicho acceso no debería ser posible. Se trata,
no lo olvidemos, ¡de la clave privada!.

b) Típicamente, un atacante con un nivel de acceso tan "elevado"
podría realizar, también, una sustitución completa de la clave
del cliente, o un ataque por fuerza bruta de su "passphrase" (frase
de paso).

c) En muchos casos, un atacante con un nivel de acceso tan "elevado"
tendría también acceso al ejecutable PGP, con la posibilidad de instalar
una versión alterada para proporcionar la clave privada descifrada, o
la propia "frase de paso" (passphrase) de la víctima.

Es decir, el atacante sólo tendrá la oportunidad con usuarios
descuidados con su clave privada.

La profilaxis, por tanto, es sencilla: aunque la clave privada esté
protegida por una "frase de paso", los usuarios deben considerarla como
información altamente confidencial, y no deben dejarla accesible a
agentes externos.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Taller de Criptografía - Informe 27:
PGP y el ataque checo:
http://www.ugr.es/~aquiran/cripto/informes/info027.htm

Flaw reported in popular e-mail encryption program:
http://www.siliconvalley.com/docs/news/svfront/063453.htm

On the Humbug Surrounding the Attack On the Electronic Signature:
http://www.i.cz/en/onas/ohlasy.html

Re: Czech attack to PGP:
http://www.imc.org/ietf-openpgp/mail-archive/msg04767.html

[24 Mar 2001] Security flaw in OpenPGP key format:
http://www.pgpi.org/news/#20010324

PGP:
http://www.pgp.com/

GnuPG:
OpenPGP:
ftp://ftp.rediris.es/docs/rfc/24xx/2440



miércoles, 4 de abril de 2001

Varias vulnerabilidades en Tomcat 3.2.1 y 4.0-b1

Dos vulnerabilidades que afectan a diferentes versiones de Tomcat
permiten la lectura del código fuente ".jsp" y la posibilidad de acceso
a ficheros fuera del directorio raíz.
Tomcat es un módulo que extiende las funcionalidades de los servidores
web mediante tecnología Java. Los problemas de seguridad son diversos y
pueden permitir a un atacante remoto la posibilidad de leer el código
fuente de las páginas JSP, obtener el llistado de directorios o
conseguir cualquier archivo del sistema, incluso aunque este se
encuentre fuera de la raíz del servidor web.

En todos los casos las vulnerabilidades se basan en la sustitución de
caracteres normales dentro de la petición web, por caracteres unicode,
un fallo por al que también se ha visto expuesto el servidor web de
Internet Information Server. En este caso, la vulnerabilidad que afecta
a Tomcat en su versión 4.0-b1 y que corre sobre Windows NT/2000 permite
a un atacante la lectura del código ".jsp" a través de un explorador web
mediante una simple petición web.

Si el atacante realiza la siguiente petición
http://servidor.vulnerable:8080/examples/snp/snoop%2ejsp conseguirá el
código del archivo solicitado.

Tomcat igualmente posee otra vulnerabilidad, pero esta vez en su versión
3.2.1, que al igual que la anterior también corre sobre Windows NT/2000.
En caso de que este problema llegue a ser explotado permitirá la
posibilidad de conseguir el listado de los archivos incluidos dentro de
cada directorio. Para ello al atacante le bastará realizar una petición
del tipo:
http://servidor.vulnerable:8080/%2e%2e/%2e%2e/%00.jsp

Los problemas van mucho más lejos, ya que mediante una URL construida de
la siguiente forma
http://servidor.vulnerable/../../winnt/win.ini%00examples/jsp/hello.jsp
el atacante podrá obtener el contenido de cualquier archivo fuera de la
raíz del web. En el caso del ejemplo podrá obtener el contenido del
archivo win.ini.

Todos estos ataques pueden brindar a un atacante la información
suficiente para lograr el compromiso de la máquina, por lo que se
recomienda la instalación de la versión 3.2.2beta2 del software, en la
que se encuentran corregidas estas vulnerabilidades.



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Tomcat 4.0-b1 for winnt/2000 show ".jsp" source Vulnerability:
http://www.chinansl.com/CSA-200109.html

Tomcat 3.2.1 for win2000 Directory traversal Vulnerability:
http://www.chinansl.com/CSA-200108.html

Actualización a Tomcat versión 3.2.2beta2:
http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.2.2-beta-2



martes, 3 de abril de 2001

DeCSS: la odisea continua

Mientras los contenciosos legales sobre DeCSS siguen su curso de forma
interminable, la parte demandada dispone de nuevas armas de defensa en
su arsenal.
Como nuestros lectores recordarán (ver enlaces al final del boletín),
DeCSS es una pequeña herramienta que permite la visualización de un
disco DVD sin disponer de un reproductor "oficial", ya sea hardware o
software. Creado inicialmente para permitir la visualización de DVDs en
entornos Linux, donde no existían reproductores "oficiales", el caso ha
llegado a los tribunales, dado que la MPAA (asociación norteamericana
que agrupa a la industria cinematográfica) emprendió acciones legales
por lo que ellos entendían una violación de sus derechos.

En el año transcurrido, han aparecido nuevas herramientas similares al
DeCSS original, pero con un tamaño mucho menor y con un impacto
mediático no comparable. El record, de momento, lo tienen dos programas
en "perl" (un lenguaje de programación muy popular en el mundo Unix) que
constan de apenas 7 líneas de código.

El tamaño de los programas es lo bastante pequeño como para ser impresos
en una camiseta o, incluso, en un posavasos (habrá quien sea capaz de
memorizarlos, llegado el caso). Podrían incluso publicarse como artículo
en una revista en papel, o formando parte de un libro físico, con lo que
quedaría cubierto por la legislación de "free speech", como lo fue en su
día el código del PGP, que tuvo que publicarse en forma de libro para
poder ser exportado desde EE.UU. de forma legal.

Pase lo que pase con el juicio DeCSS (actualmente en fase de apelación
por parte de la defensa), está claro que las herramientas de descifrado
de DVD están aquí para quedarse.

Mi opinión personal sobre el tema, que no vincula a Hispasec, se puede
encontrar en el enlace sobre el comunicado de la GILC, del que fui
firmante en su momento.



Jesús Cea Avión
jcea@hispasec.com


Más información:

The littlest DVD descrambler:
http://www.securityfocus.com/news/172

Seven lines of code can crack DVD encryption:
http://www.cnn.com/2001/TECH/internet/03/12/DVD.code.idg/index.html

Decrypting DVD:
http://www.mit.edu/iap/dvd/

Cae la protección criptográfica de los DVDs:
http://www.argo.es/~jcea/artic/hispasec25.htm

Comunicado de la GILC sobre la demanda de la DVD Copy Control:
http://www.argo.es/~jcea/artic/hispasec38.htm



lunes, 2 de abril de 2001

Hispasec realiza su tercera comparativa anual de antivirus

Por tercer año consecutivo Hispasec ha realizado su, ya clásica,
compartiva de productos antivirus. Publicada como es habitual por PC
Actual este año las pruebas se han centrado en analizar el
comportamiento de los productos ante situaciones reales de uso diario.
En lo que podría titularse como "Antivirus para un mundo real" el equipo
técnico de Hispasec ha realizado un total de 10 pruebas destinadas a
comprobar el comportamiento de los productos ante situaciones reales. En
esta ocasión los productos elegidos para someterse a nuestros duro banco
de pruebas han sido los nueve siguientes: AVP, F-Secure, InocutaleIT,
Norman, Norton, Platinum, PC-Cillin, Sophos, VirusScan.

Esta comparativa se publica inicialmente en la revista PC Actual del mes
de abril y en ella los lectores podrán descubrir el comportamiento de
estos productos ante las siguientes pruebas:
1 - Instalación del antivirus en un entorno infectado
2 - Atención telefónica al usuario
3 - Atención al usuario por correo electrónico
4 - Detección de un virus modificado
5 - Impacto del antivirus en el trabajo diario
6 - Respuesta de los laboratorios ante un virus nuevo
7 - Detección de muestras según categorías
8 - Detección de virus en comprimidos mediante compresores tradicionales
9 - Detección de virus en comprimidos con compresores de ejecutables
10 - Detección de virus desde clientes Internet.

Como es habitual en nuestras comparativas los servicios técnicos son
sometidos a duras pruebas, desde comprobar el soporte telefónico durante
las 24 horas del día, hasta su capacidad de reacción para elaborar una
vacuna para un virus totalmente nuevo.

Esta nueva comparativa también incluye nuevas pruebas, no realizadas
hasta la fehca por ninguna otra comparativa en todo el mundo, como es el
evaluar el impacto de los módulos residentes en el trabajo diario del
ordenador y la detección de virus comprimidos mediante compresores de
ejecutables (compresores que sólo actúan sobre archivos ejecutables y
comprimen su tamaño manteniendo su capacidad de ejecución).

Los resultados de estas pruebas son altamente interesantes y sin duda
permitirán a todos los lectores descubrir que producto antivirus se adapta
mejor a sus necesidades.

Para todos nuestros lectores que no puedan disfrutar de la comparativa a
través de la revista PC Actual, próximamente publicaremos en nuestras
páginas web toda la comparativa completa.



Antonio Ropero
antonior@hispasec.com


Más información:

PC Actual:
http://www.pc-actual.com

Comparativa de antivirus del año 2000:
http://www.hispasec.com/comparativa2000.asp



domingo, 1 de abril de 2001

Ataque DoS a Website Pro/3.0.37

Website Pro en su versión 3.0.37, se ve afectado por una vulnerabilidad
que podrá causar un problema de denegación de servicios.

El servicio de administración remota de Website Pro que por defecto
presta sus servicios a través del puerto 9999 es vulnerable a un ataque
DoS. Si un atacante envía una serie de demandas no autentificadas al
directorio "dyn" hará caer el S.O. donde corre el servidor Web.

El ejemplo del ataque sería:

GET /dyn/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HTTP/1.0
host: 10.0.0.1

Provisionalmente y con el fin de no verse afectado por este problema los
usuarios del servidor web, se aconseja la inhabilitación de acceso al
servicio de administración remota a través del puerto por defecto
(9999).



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Defcom Labs:
http://www.defcom.com