martes, 31 de julio de 2001

Vulnerabilidad en Samba

Las versiones no actualizadas de Samba contienen un problema de
seguridad que permite que un atacante obtenga privilegios de
superusuario o root.
Samba es una implementación Unix "Open Source" del protocolo SMB/NetBIOS
utilizada para la compartición de archivos e impresora en entornos
Windows. Gracias a este programa, se puede lograr que máquinas Unix y
Windows convivan amigablemente en una red local, compartiendo recursos
comunes. Incluso es factible utilizar un servidor Samba para, por
ejemplo, actuar como controlador de un dominio Windows.

Las versiones de Samba previas a la 2.0.10 o a la 2.2.0a contienen un
problema de seguridad que posibilita que un atacante obtenga privilegios
de superusuario, mediante la sobreescritura de archivos de forma casi
arbitraria.

La recomendación es actualizar cuanto antes a Samba 2.0.10, 2.2.0a o
superior. En caso de no ser posible, debe planificarse una migración en
un plazo breve y, mientras tanto, eliminar todas las apariciones del
macro "%m" en el fichero de configuración "smb.conf".

El problema reside en el tratamiento del macro "%m", que contiene la
información sobre identidad del cliente Samba que realiza una petición
determinada. Un atacante puede introducir en dicha identidad caracteres
considerados especiales por el sistema de ficheros unix, como ".." o
"/", y sobre escribir así archivos en el servidor.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SAMBA:
http://www.samba.org/

IMPORTANT: Security bugfix for Samba:
http://www.samba.org/samba/whatsnew/macroexploit.html

SuSE Security Announcement: samba (SuSE-SA:2001:021):
http://www.suse.com/de/support/security/2001_021_samba_txt.txt

MandrakeSoft Security Advisory MDKSA-2001:062 : samba:
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-062.php3?dis=8.0

OpenLinux: samba remote root problem:
http://www.caldera.com/support/security/advisories/CSSA-2001-024.0.txt

smbd remote file creation vulnerability:
http://www.securityfocus.com/archive/1/193027

Re: smbd remote file creation vulnerability:
http://www.securityfocus.com/archive/1/193501



lunes, 30 de julio de 2001

Vulnerabilidad en SSH Secure Shell 3.0.0

La versión 3.0.0 de SSH Secure Shell contiene una vulnerabilidad que
puede permitir el acceso a cuentas de usuario, bajo determinadas
circunstancias.
SSH es un protocolo de comunicación que permite el establecimiento de
una conexión cifrada y protegida entre dos máquinas, típicamente un
cliente y un servidor. Se utiliza, normalmente, como reemplazo del
telnet, para poder realizar accesos y administración segura de
máquinas remotas o en redes hostiles.

Existen varias implementaciones del protocolo SSH, notablemente la
implementación abierta OpenSSH, y varias versiones comerciales.

La versión 3.0.0 de SSH Secure Shell para UNIX (una versión comercial de
SSH) contiene una vulnerabilidad que permite que un atacante acceda
libremente a cuentas de usuario cuyos campos de clave en el fichero de
claves contengan sólo uno o dos caracteres. En ese caso, un atacante
puede acceder a las cuentas utilizando cualquier clave. El problema
afecta a la versión servidor, no a la versión cliente.

Solaris, por ejemplo, marca las cuentas como "NP" en el campo clave
cuando se trata de cuentas administrativas a las que no se le permite
hacer "login". Otros sistemas emplean "!!" o "*LK*". Lamentablemente
dichas cuentas son accesibles a través de esta versión de SSH.

La vulnerabilidad ha sido solucionada en la versión 3.0.1, versión que
se recomienda instalar enseguida si se está utilizando SSH Secure Shell.

OpenSSH no es vulnerable.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SSH:
http://www.ssh.com/

SSH Secure Shell 3.0.0 Security Advisory:
Secure Shell Potential Remote Root Exploit:
http://www.ssh.com/products/ssh/exploit.cfm

OpenSSH:
http://www.openssh.com/



domingo, 29 de julio de 2001

Reflexiones sobre SirCam

Dos años después de que apareciera Melissa, el gusano que pilló
desprevenidos a miles de usuarios, vamos para atrás, como los
cangrejos. SirCam sólo representa una nueva faceta, unas más, del
mismo problema. ¿Hay soluciones?
Desde la simplicidad de Melissa o ILoveYou, pasando por especímenes
mucho más elaborados y complejos como Hybris o Magistr, el problema
siempre es el mismo. Por un lado, los usuarios que no se resisten a
la tentación de abrir el archivo adjunto que les llega a través del
correo electrónico. Por el otro, los antivirus que siguen siendo
incapaces de proteger contra virus nuevos. El resultado es siempre
la infección de miles de sistemas, la espera mientras las casas
antivirus desarrollan la vacuna y, después, las actualizaciones que
deben realizar los usuarios para reconocer el nuevo virus.

En el mejor de los casos, cuando se trata de gusanos de gran
propagación, la vacuna suele estar disponible entre 12 y 24 horas
después de las primeras infecciones, tiempo más que suficiente para
que el virus logre autoenviarse a miles de sistemas aprovechando
Internet. El problema se agrava si tenemos en cuenta los desfases
que ocurren entre la aparición de la vacuna y la actualización por
parte de los usuarios. A continuación los resultados obtenidos en
la Encuesta AntiVirus 2001 - Hispasec, llevada a cabo hace unas
semanas sobre más de 2000 usuarios que participaron en el test EICAR.

Cada cuanto tiempo suele actualizar su antivirus:

Todos los días -> 23,46%
Dos o tres veces por semana -> 15,64%
Una vez a la semana -> 29,62%
Dos o tres veces al mes -> 14,10%
Una vez al mes -> 11,28%
Trimestralmente -> 2,82%
No suele actualizarlo -> 3,08%

Tuvimos ocasión de comentar este problema con Eugene Kaspersky y
Mikel Urizarbarrena, presidentes de AVP y Panda Software
respectivamente, con motivo de la Comparativa Antivirus 2001 de
Hispasec (http://www.hispasec.com/comp_avs2001.asp?id=18). Ambos
coincidieron en apuntar a la heurística como solución, si bien queda
patente que sigue resultando trivial crear virus que burlen este
tipo de detecciones genéricas.

Otras soluciones más genéricas pasan por el uso de la criptografía.
En la misma comparativa antivirus abordamos esta posibilidad en el
caso concreto de Windows XP y el uso de la firma digital a nivel de
aplicaciones (http://www.hispasec.com/comp_avs2001.asp?id=28).

Visto que aún existe un gran número de usuarios que hacen oídos
sordos a la regla de oro de no abrir archivos adjuntos no
solicitados, que los antivirus no planean modificar su esquema
actual y que tampoco esperamos que Microsoft resuelva este problema
a nivel de sistema operativo, vamos a proponer una solución
intermedia.

Actualizaciones Urgentes Automatizadas

Como hemos visto, el desfase de tiempo entre la aparición en escena
del virus y la protección efectiva del usuario es debido en su mayor
parte al proceso de actualización del antivirus. La mayoría de las
soluciones dejan esta acción a discreción del usuario, que debe
activarla manualmente.

Existen otras soluciones que permiten automatizar estas descargas,
si bien los tiempos no suelen ser inferiores a 24 horas y aún son
muchos los usuarios reticentes a que el antivirus decida cuándo
descargar cientos de kilobytes sin tener en cuenta que puede consumir
ancho de banda en detrimento de otros servicios que se estén
utilizando en ese momento, como descarga de otros archivos, juegos
en línea, vídeoconferencias, etc.

La propuesta consiste en que el antivirus pueda detectar la necesidad
de una actualización urgente, cómo por ejemplo la de SirCam, y
proceder a la descarga automatizada de su correspondiente vacuna.
La comprobación periódica a través de Internet mientras el usuario
está conectado no tiene por qué consumir más que unos pocos bytes
(puede ser inferior a 1 Kb a la hora), tráfico insignificante que
no supone molestia alguna para el usuario.

Ante la detección de una alerta, la casa antivirus sólo tendría que
modificar el estado en su servidor y los antivirus procederían a la
descarga automática de la vacuna de forma casi inmediata. El tráfico
producido en el caso de alerta también sería mínimo, pues incluiría
la vacuna específica para el virus en lugar de las actualizaciones
diarias o periódicas que suelen incluir información sobre decenas de
especímenes.



Bernardo Quintero
bernardo@hispasec.com


Más información:

18/07/2001 - SirCam, gusano de propagación masiva
http://www.hispasec.com/unaaldia.asp?id=997

21/03/2001 - Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878

13/02/2001 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
http://www.hispasec.com/unaaldia.asp?id=842

29/11/00 - "Hybris", un nuevo giro en la historia de los virus
http://www.hispasec.com/unaaldia.asp?id=766

01-05-2000 - Alerta: VBS.LoveLetter infecta miles de sistemas
http://www.hispasec.com/unaaldia.asp?id=552

28-3-1999 - HispaSec analiza a Melissa
http://www.hispasec.com/unaaldia.asp?id=152



sábado, 28 de julio de 2001

Alerta sobre una grave amenaza a Internet.<br>Deben tomarse medidas antes del 31 de julio

Diversas organizaciones han emitido una alarma para informar a todas las
organizaciones de la necesidad imperiosa de protegerse contra el gusano
Code Red antes del 31 de julio. Este gusano y sus diversas mutaciones
suponen una seria y continua amenaza para todos los usuarios de Internet.
Se hace necesaria una actuación inmediata para combatir esta amenaza. Los
administradores responsables de la administración de alguno de los
paquetes de software vulnerables al gusano (Microsoft IIS versiones 4.0 y
5.0) deben instalar, sino lo han realizado todavía, la actualización de
seguridad.
Microsoft, el National Infrastructure Protection Center, la Federal
Computer Incident Response Center (FedCIRC), el Information Technology
Association of America (ITAA), el CERT Coordination Center, el SANS
Institute, Internet Security Systems e Internet Security Alliance han
emitido un aviso conjunto que tiene como objetivo alertar a aquellos
administradores de IIS que todavía no hayan tomado las medidas oportunas
para combatir el gusano "Code Red".

¿Se trata de un problema importante?

El 19 de julio, el gusano Code Red infectó más de 250.000 sistemas en sólo
9 horas. El gusano busca en Internet la existencia de cualquier sistema
vulnerable y los infecta instalado una copia de él mismo. Cada nuevo
sistema infectado se unirá al resto en la búsqueda de nuevos sistemas
vulnerables, haciendo que el ritmo de búsquedas aumente exponencialmente.
Este incremento incontrolado de las búsquedas de sistemas repercute
directamente en el rendimiento de Internet y puede causar colapsos
esporádicos que afectarán a todos los sistemas. Se estima que "Code Red"
volverá a iniciar la fase de búsqueda de sistemas a infectar el próximo 1
de agosto a las 02:00 horas (00:00 horas GMT). Es posible que para
entonces existan mutaciones más peligrosas que las conocidas hasta la
fecha. Todo esto supone un importante riesgo de interrumpir la
utilización normal de Internet por parte de las empresas y los
particulares en operaciones tales como el comercio electrónico, el correo
electrónico y pasatiempos.

¿Quién debe actuar?

Cualquier organización o particular que disponga de un sistema Windows NT
o Windows 2000 *Y* tenga instalado el software servidor IIS puede ser
vulnerable a este problema. Por otra parte, debe considerarse que otras
aplicaciones pueden instalar automáticamente IIS durante su proceso de
instalación. En caso de duda, en las direcciones indicadas más abajo se
encuentran instrucciones para determinar si se está ejecutando IIS 4.0 ó
5.0.

Los usuarios de Windows 95, Windows 98 o Windows ME no es necesario que
realicen ninguna acción especial como respuesta a esta alerta.

¿Qué hacer si somos vulnerables?

a. En primer lugar, para deshacerse del gusano actual, reiniciar la
máquina.

b. Para proteger el sistema de la posible infección, instalar el parche de
Microsoft que elimina la vulnerabilidad "Code Red":

* Windows NT versión 4.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
* Windows 2000 Professional, Server y Advanced Server:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Existen instrucciones detalladas sobre como realizar estas acciones en

http://www.digitalisland.com/codered

Las instrucciones de Microsoft acerca de esta instalación y su
instalación, así como de la vulnerabilidad que solucionan se encuentran
en:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Debido a la importancia de esta amenaza, esta alerta ha sido realizada
conjuntamente por:

Microsoft
The National Infrastructure Protection Center
Federal Computer Incident Response Center (FedCIRC)
Information Technology Association of America (ITAA)
CERT Coordination Center
SANS Institute
Internet Security Systems
Internet Security Alliance



Xavier Caballe
xcaballe@quands.com


Más información:

Aviso de seguridad del CERT:
http://www.cert.org/advisories/CA-2001-23.html

Versión en catalán de esta alerta:
http://www.quands.com/misc/html/quands-urgent.html



viernes, 27 de julio de 2001

Nueva vulnerabilidad en Windows Media Player

Se ha descubierto una nueva vulnerabilidad en Windows Media Player que
puede permitir a un atacante la ejecución de código en los ordenadores
que intenten reproducir un archivo de vídeo o sonido maliciosamente
creado.
Windows Media Player proporciona soporte para streaming de audio y
vídeo, para la emisión de imágenes y sonido en directo. La emisión de
los diferentes canales de medios audiovisuales puede ser configurada a
través de archivos Windows Media Station (.NSC). Existe un búfer en la
funcionalidad empleada para el procesamiento de dichos archivos sobre
el que no se realizan las adecuadas comprobaciones.

Este fallo puede permitir a un usuario malicioso la posibilidad de
realizar un ataque de desbordamiento de búfer que en caso de ser
explotado podría permitir la ejecución de código arbitrario sobre la
máquina de otro usuario. El atacante deberá inducir al usuario a
reproducir el archivo maliciosamente creado, que bien puede ser enviado
en un mensaje o alojado en un servidor web para su reproducción
automática. El código podrá llevar a cabo cualquier acción sobre la
máquina del usuario como si del propio usuario legítimo se tratara.

Microsoft publica un parche para Windows Media Player 7.1, por lo que
los usuarios de versiones anteriores del reproductor de medios deberán,
en primer lugar, actualizarse a dicha versión para posteriormente
aplicar la actualización que se encuentra disponible en la dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31459



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-042):
http://www.microsoft.com/technet/security/bulletin/MS01-042.asp



jueves, 26 de julio de 2001

Problemas de DoS en los principales programas de Microsoft

Un problema asociado a los servicios RPC en Exchange, SQL Server,
Windows NT 4.0 y Windows 2000 hace que tanto los servidores de correo,
los de bases de datos y los sistemas operativos de Microsoft se puedan
ver afectados por ataques de denegación de servicios.
Múltiples servicios RPC asociados con servicios del sistema en Exchange
(en sus versiones 5.5 y 2000), SQL Server (tanto en la versión 7.0 y
2000), Windows NT 4.0 y Windows 2000 no validan las entradas
adecuadamente y en algunos casos se aceptarán entradas no válidas que
impedirán el proceso normal. Los valores de las entradas variarán
dependiendo del servidor RPC.

Un atacante que envíe entradas mal construidas a un servidor RPC
afectado podrá interrumpir dicho servicio. El tipo de interrupción
dependerá del tipo específico de servicio afectado, pero podrá variar
desde un simple bloqueo temporal del servicio afectado hasta una
denegación total de servicios de todo el sistema obligando a reiniciar
el servidor.

Microsoft publica diferentes parches para cubrir este problema en cada
uno de los programas afectados:

Para Microsoft Exchange Server 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31517

Para Microsoft Exchange Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31522
También incluido en Exchange Server 2000 SP1

Para Microsoft SQL Server 7.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31645
También se encuentra incluido en SQL Server 7.0 SP3

Para SQL Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31644
También se encuentra incluido en SQL Server 2000 SP1

Para Microsoft Windows NT 4.0 Workstation y Server se ve incluido en el
Security Rollup Package (Post SP6a):
http://support.microsoft.com/support/kb/articles/q299/4/44.asp?ID=299444

Para Microsoft Windows 2000 Professional y Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31434



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-041):
http://www.microsoft.com/technet/security/bulletin/ms01-041.asp



miércoles, 25 de julio de 2001

Vulnerabilidad en ftpd y ftp en HP-UX

Los HP9000 de la serie 700/800 que corren con HP-UX, en sus versiones
10.01, 10.10, 10.20, 11.00, y 11.11 se ven afectados por una
vulnerabilidad que podría permitir a un atacante hacerse con el
control de la máquina.
Las implementaciones de ftpd y ftp tienen un problema en el uso de la
función glob(), que podría facilitar que un atacante remoto
consiguiera realizar un desbordamiento de búfer. Si un atacante logra
Explotar con éxito esta vulnerabilidad podría llegar a obtener
privilegios de administrador sobre la máquina afectada.

Con el fin de paliar este problema HP publica los correspondientes
parches correspondientes a las versiones afectadas, que podrá bajar
del sitio http://itrc.hp.com.

10.01 o 10.10: PHNE_23947
10.20: PHNE_23948
11.00: PHNE_23949
11.11: PHNE_23950



Antonio J. Román Arrebola

roman@hispasec.com


Más información:

Security Vulnerability in ftpd and ftp
http://forums.itrc.hp.com/cm/QuestionAnswer/1,1150,0x027246ff9277d511abcd0090277a778c,00.html



martes, 24 de julio de 2001

Actualización de PHPLib

El equipo de PHPLib ha hecho pública la versión 7.2d de su librería de
utilidades PHP, que soluciona un grave problema de seguridad.
La librería PHPLib es un conjunto de funciones y objetos para PHP, un
popular lenguaje de programación web en el mundo Unix, que proporciona
funcionalidades útiles para el programador de desarrollos web.

Las versiones de PHPLib previas a la 7.2d contienen un grave problema de
seguridad que permite que un atacante malicioso inyecte código en
cualquier script PHP que utilice la librería PHPLib. De hecho puede
hacerlo depositando el código en otro servidor y "convenciendo" al
servidor víctima para que lo descargue y lo ejecute, sin que el atacante
necesite ningún tipo de permiso en esa máquina.

La vulnerabilidad radica en la facultad que tiene el PHP de inicializar
variables directamente a partir de datos proporcionados por el usuario
en la URL o en un POST. Si un script no inicializa sus variables
internas de forma explícita, asumiendo que toman valores por defecto, un
atacante puede introducir los datos que desee en las mismas.

En este caso el problema radica en la variable "$_PHPLIB[libdir]", que
indica de dónde cargar librerías adicionales (incluyendo URLs). Las
versiones previas de PHPLib no inicializan dicha matriz de forma
explícita, por lo que un atacante puede darle valores arbitrarios,
indicando sus propias librerías.

Dada la importancia y el alcance del problema, todo usuario de PHPLib
debe actualizar a la versión 7.2d con la mayor premura posible.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Descarga PHPLIB
http://sourceforge.net/projects/phplib/

[imp] IMP 2.2.6 (SECURITY) released
http://marc.theaimsgroup.com/?l=imp&m=99575417320757&w=2



lunes, 23 de julio de 2001

Vulnerabilidades en la librería OpenSSL

Las versiones de la librería OpenSSL previas a la 0.9.6b contienen
varias vulnerabilidades importantes.
La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

La versión 0.9.6b de OpenSSL soluciona las siguientes vulnerabilidades:

* El generador de números pseudoaleatorios contiene una vulnerabilidad
que permite a un atacante, bajo ciertas circunstancias, recuperar el
estado interno del generador y, por lo tanto, predecir valores
futuros. Ello puede comprometer, por ejemplo, la generación de
nuevas claves, tanto claves de sesión como claves asimétricas.

* Se introducen contramedidas para detectar ataques contra el PKCS #1
v1.5, detectado por Bleichbacher.

* Solucionados varios problemas en la verificación S/MIME DSA.

Hay que hacer notar que si bien podemos no ser usuarios directos de la
librería, seguramente estaremos utilizando programas que la emplean, de
forma indirecta, por lo que se recomienda la actualización a la versión
0.9.6b o superior de la librería para todos los usuarios de entornos
Unix (Solaris, Linux, *BSD, AIX, etc).



Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSL
http://www.openssl.org/

Falla de PRNG en Versiones de OpenSSL Inferiores a 0.9.6a
http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.openSSL-20010710.html



domingo, 22 de julio de 2001

Estadísticas de incidentes del CERT en el primer semestre

El Computer Emergency Response Team (CERT) ha publicado nuevamente
los datos de sus estadísticas sobre las incidencias registradas por este
organismo.
La primera conclusión que podemos obtener tras mirar detenidamente
las cifras publicadas, es el gran incremento de incidentes durante el
primer semestre del presente año. Si bien, esto es una tendencia
claramente visible, basta analizar los datos podemos observar una
propensión claramente al alza en los incidentes reportados desde el
principio de los noventa. Estos se han multiplicado por 100, para pasar
de los 252 (en 1990) a los 21756 (en el 2000).

Pero basta observar la cifra de incidentes en el primer semestre para ver
que esta última cifra quedará ampliamente superada en el 2001. Ya que
en estos primeros meses del 2001 ya se han registrado más de 15476
incidentes reportados.

Igual a lo que ocurre con los incidentes, pasa con las vulnerabilidades
detectadas. En tan sólo este primer semestre de año se han sobrepasado
en 61 las enviadas en todo el año 2000, (1090 frente a 1151).



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

CERT/CC Statistics 1988-2001
http://www.cert.org/stats/cert_stats.html



sábado, 21 de julio de 2001

Honeynet, una dulce trampa

El pasado jueves fue dado a conocer un proyecto que atrae nuestra
curiosidad, el proyecto Honenynet, o lo que traducido al castellano
sería "tarro de miel".
Este proyecto está funcionando de manera experimental desde hace algo
más de un año mantenido por algo más de 30 voluntarios. Uno de ellos,
Lance Spitzner, responsable de arquitectura de seguridad de Sun
Microsystems, comentó, " El proyecto ha estado funcionando desde hace
algo más de un año de un modo limitado, pero será ampliado a sistemas
de todo el mundo","ahora mismo los asaltantes nos angustian debido a
que sólo hay un Honeynet".

El funcionamiento a grandes rasgos de lo que pretende ser la red
Honeynet, sería un sistema de detección de intrusión, que a su vez
esté conectado con un sistema de alarma virtual que se encargará
de monitorizar cada uno de los movimiento del intruso, facilitando su
localización y la obtención de pruebas.

Según Spitzner la filosofía de este proyecto no es capturar a los
atacante sino aprender de ellos, dicho con sus palabras, "Nuestra meta
nunca ha sido ni será coger a los atacantes de las computadoras",
"Nosotros estamos desplegando los sistemas para recoger los datos del
enemigo."

Este proyecto nació de forma no lucrativa, habiendo captado el interés
de multitud de empresas y organismos gubernamentales, creyéndose del
mismo que formará una parte muy importante de la seguridad de Internet.



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Honeynet Project sweetens hacker bait
http://news.cnet.com/news/0-1003-200-6560377.html?tag=mn_hd

The Honeynet project
http://project.honeynet.org

Know Your Enemy
http://project.honeynet.org/papers/enemy



viernes, 20 de julio de 2001

Vulnerabilidad en Cisco IOS PPTP

Cisco IOS "Internetwork Operating System Software" PPTP, se ve
afectado por un problema que lo hace vulnerable a un ataque de
denegación de servicio.
Si un atacante envía un paquete PPTP (Point to Point Tunneling
Protocol) modificado al puerto 1273, podrá causar una denegación de
servicios deteniendo la operatividad del router. Para que el router
sea vulnerable deberá estar habilitado PPTP.

Las versiones que se ven afectadas por este problema son:

Cisco IOS 12.2XQ
Cisco IOS 12.2XH
Cisco IOS 12.2XE
Cisco IOS 12.2XD
Cisco IOS 12.2XA
Cisco IOS 12.2T
Cisco IOS 12.2
Cisco IOS 12.1YD
Cisco IOS 12.1YC
Cisco IOS 12.1YA
Cisco IOS 12.1T
Cisco IOS 12.1EZ
Cisco IOS 12.1E

Para comprobar si su versión es de las afectadas, basta escribir en la
línea de comandos la instrucción "show versión".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS PPTP vulnerability
http://www.cisco.com/go/psirt



jueves, 19 de julio de 2001

Un nuevo gusano, .ida Red Code, ataca a los servidores IIS

En las últimas horas se ha detectado un gran número de ataques contra
servidores web utilizando la vulnerabilidad .IDA. Estos ataques son
producidos por el gusano ida "Red Code".
El gusano, recientemente descrito por eEye Digital Security, ha mostrado
una gran actividad y en los tres primeros días después de su
descubrimiento, ya se han contabilizado más de cinco mil servidores
infectados. Para atacar los servidores utiliza el desbordamiento de búfer
existente en el filtro ISAPI de Microsoft Indexing Service. Esta
vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en
el servidor con privilegios de SYSTEM, lo que le facilita un control
absoluto de la máquina.

Para solucionar esta vulnerabilidad, publicada hace más de un mes y medio,
Microsoft publicó un boletín (MS01-33) y un parche. Debido a la
importancia de esta vulnerabilidad, la instalación del parche es realmente
muy importante.

El gusano .ida "Red Code" tiene las siguientes características:

* Una vez infectada la máquina, arranca 100 threads que son utilizados
para buscar otros servidores web vulnerables e infectarlos con el gusano.

* Modifica las páginas web existentes con el siguiente código:

<html><head><meta http-equiv=óContent-Typeó content=ótext/html;
charset=Englishó>
<title>HELLO!</title></head>
<bady><hr size=5>
<font color=óredó><p align=ócenteró> Welcome to http://www.worm.com !
<br><br>Hacked By Chinese! </font></hr></bady>
</html>

El primer análisis al gusano nos permite describir brevemente su
comportamiento: una vez infectada la máquina, arranca 100 threads con un
bucle que analiza otras máquinas en vistas a infectarlas (excepto si
existe un archivo denominado C:\NOTWORM, en cuyo caso la función de
propagación queda anulada).

El gusano utiliza un sistema pseudo-aleatorio para determinar las
direcciones IP a analizar. Este sistema hace que la secuencia de
direcciones IP analizadas sea la misma en todos los servidores infectados.
Como consecuencia, a medida que el número de máquinas comprometidas
aumenta, las primeras direcciones analizadas se ven bombardeadas con una
gran cantidad de tráfico, lo que puede provocar un ataque de denegación de
servicio. Adicionalmente, el gusano tiene la capacidad de infectar varias
veces la misma máquina, lo que puede provocar el agotamiento de los
recursos.

Por lo que parece, el gusano impone un límite en el número de veces en que
una misma máquina es infectado (en el entorno de laboratorio de eEye este
número parece ser 3, aunque no se puede afirmar por el momento que este
límite sea el mismo en cualquier circunstancia). No obstante, parece que
este sistema de auto-limitación no funciona correctamente y, en
determinados servidores, el gusano continua arrancando threads hasta el
agotamiento total de los recursos del sistema, provocando el cuelgue de la
máquina.

Según los informes publicados por eEye Digital Security, en estos momentos
(18-07-01) el número de máquinas infectadas a nivel Internet se calcula en
unas 5.000, que van analizando otras máquinas para determinar si son
vulnerables e instalar el gusano. Esta actividad está ya generando un
importante volumen de tráfico entre las direcciones IP que aparecen al
principio de la relación pseudo-aleatoria de direcciones utilizada por el
gusano.

Para protegerse contra este gusano, debe instalarse la actualización
publicada por Microsoft. En el boletín de eEye se facilita un fragmento
del paquete de datos enviado por el gusano, de forma que pueda
configurarse un sistema de detección de intrusos para detectar la
actividad de este gusano.

Más información:

Boletín de eEye Digital Security:
http://www.eeye.com/html/Research/Advisories/AL20010717.html
http://www.quands.com/alertes/html/code_red.html (versión en catalán)

Una al día (18-06-01): Grave desbordamiento de bufer en todas las
versiones de IIS:
http://www.hispasec.com/unaaldia.asp?id=967

Boletín de Microsoft (MS01-33):
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

Parche para Windows NT 4:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Parche para Windows 2000 (Professional, Server y Advanced Server):
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800




Xavier Caballe
xcaballe@quands.com



miércoles, 18 de julio de 2001

SirCam, gusano de propagación masiva

SirCam es un nuevo gusano que está consiguiendo una propagación
significativa en las últimas horas. Cómo identificación a primera
vista, SirCam viaja adjunto en un e-mail con las cadenas "Hola
como estas ?" y "Nos vemos pronto, gracias" como primera y última
línea del cuerpo del mensaje.
Las primeras muestras de SirCam fueron descubiertas ayer 17 de
julio, si bien en las últimas horas es cuando se está detectando
una distribución masiva que lo sitúan de momento en una alerta
de nivel medio. Se espera que la propagación remita tras las
pertinentes actualizaciones de los antivirus y la información
proporcionada sobre su modo de presentación y actuación.

Este gusano está consiguiendo una especial relevancia en países
de habla hispana, sin duda gracias a la utilización de frases en
español, además del inglés, para formar los mensajes en los
cuales se adjunta.

El e-mail donde se autoenvía lo compone de la siguiente forma:

Asunto: [nombre del archivo adjunto sin extensión]

Cuerpo:

Primera línea: "Hola como estas ?"

Línea central: [alguna de las siguientes frases al azar]
"Te mando este archivo para que me des tu punto de vista"
"Espero me puedas ayudar con el archivo que te mando"
"Espero te guste este archivo que te mando"
"Este es el archivo con la informacion que me pediste"

Última línea: "Nos vemos pronto, gracias."

Adjunto: [archivo con doble extensión]

La primera extensión del archivo que se adjunta puede ser .GIF, .JPG,
.JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP, mientras que la
última y realmente importante puede ser .BAT, .COM, .EXE, .LNK o .PIF.
En la configuración por defecto de Windows la segunda extensión no
se visualizaría, lo que sin duda puede lograr engañar a los usuarios
haciéndoles creer que se trata de un documento inofensivo.

Las cadenas de texto de la versión en ingles son las
siguientes:

Primera línea: "Hi! How are you?"

Central:
"I send you this file in order to have your advice"
"I hope you can help me with this file that I send"
"I hope you like the file that I send you"
"This is the file with the information that you ask for"

Última línea: "See you later. Thanks"

Cuando el gusano se ejecuta en un sistema se sitúa en la Papelera
de reciclaje de Windows copiándose cómo C:\RECYCLED\SirC32.exe. Esta
carpeta suele permanecer oculta en Windows, además algunos antivirus
la tienen excluida de sus análisis según la configuración por
defecto.

El gusano también añade una entrada al registro de Windows para
asegurarse que SirCam se carga en memoria cada vez que un archivo
.EXE es ejecutado:

HKCR\exefile\shell\open\command\
Default="C:\recycled\SirC32.exe" "%1" %*

Otra copia renombrada como SCam32.exe la sitúa en la carpeta
Windows\System, así como una nueva entrada en el registro para
asegurar su activación cada vez que se inicia el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Driver32=C:\WINDOWS\SYSTEM\SCam32.exe

A continuación SirCam crea una lista con los nombres de los archivos
que encuentra en la carpeta Mis Documentos y cuyas extensiones sean
.GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, o .ZIP. El
listado lo almacena en el archivo SCD.DLL en Windows\System. De forma
similar recoge en la misma carpeta, bajo el nombre de archivo
SCD1.DLL, una lista con todas las direcciones de correo electrónico
que encuentra en la libreta de direcciones de Windows y en la carpeta
de archivos temporales de Internet. El segundo y tercer carácter del
nombre de los archivos .DLL donde almacena las listas puede variar
al azar.

El gusano contiene su propia rutina SMTP para autoenviarse a las
direcciones que tiene almacenadas en la lista SCD1.DLL. Para componer
el archivo infectado a enviar el gusano se copia al principio de
alguno de los archivos listados en SCD.DLL añadiendo al final la
segunda extensión. De esta forma consigue distintas apariencias según
va infectando sistemas.



Bernardo Quintero
bernardo@hispasec.com


Más información:

NAi. W32/SirCam@MM:
http://vil.nai.com/vil/dispvirus.asp?virus_k=99141

Panda Software. W32/SirCam:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Sircam

Symantec. W32.Sircam.Worm@mm:
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html

Sophos. W32/Sircam-A:
http://www.sophos.com/virusinfo/analyses/w32sircama.html

F-Secure. Sircam:
http://www.f-secure.com/v-descs/sircam.shtml



martes, 17 de julio de 2001

Apple abre la caja de Pandora de la seguridad en Macintosh

Tras la publicación del Mac OS X hace unos pocos meses, Apple abre la
caja de Pandora de la seguridad en los entornos Macintosh.
Mac OS X es el nuevo sistema operativo de Apple, basado en un
microkernel Mach y compatible con los entornos UNIX tradicionales. Este
cambio respecto al entorno "Finder" tradicional supone un gran salto en
territorio desconocido tanto para Apple como para la mayor parte de sus
usuarios.

Acostumbrados a trabajar con entornos gráficos que integran todas las
funcionalidades desde un GUI (interfaz gráfico de usuario) simple y
consistente, y con unas características de servidor de red limitadas, el
nuevo Mac OS X supone, en contraste, que cualquier instalación típica
activará infinidad de "demonios" UNIX de dudosa utilidad para un usuario
doméstico. Dichos demonios estarán accesibles por defecto desde
Internet, ocasionando innumerables problemas de seguridad. Peor aún, la
mayoría de los usuarios no conocerán su existencia, cómo
deshabilitarlos, o cómo actualizarse a versiones seguras de los mismos.

El cambio de concepción que supone Mac OS X obligará a los usuarios
domésticos a actuar como administradores de sistemas, lo que, sin duda,
supondrá un gran choque cultural para la mayoría de los clientes
actuales de Apple. De cara a Apple, el fondo UNIX de su nuevo sistema
operativo supone la necesidad de un seguimiento constante de los
paquetes incluidos en Mac OS X pero desarrollados y mantenidos por
terceras partes, de la misma forma que ocurre con los Unix más
tradicionales: Solaris, Linux, *BSD, AIX, IRIX, etc.

Tras unos primeros pasos en falso, en los que Apple parecía ignorar el
problema (probablemente por tomarles por sorpresa y no tener
responsables claros en estos asuntos), la compañía parece estar tomando
la dirección apropiada, integrándose en las redes de alerta UNIX y
manteniendo una página propia de seguridad, donde los usuarios de Mac OS
X podrán estar al tanto en la novedades y descargarse las
actualizaciones necesarias para mantener su sistema al día y seguro.

Para los usuarios de Mac OS X novatos en el mundo UNIX, la recomendación
es que desactiven todos los servicios visibles desde Internet que no
les resulten absolutamente imprescindibles. Y aquellos servicios que
sean necesarios para el correcto funcionamiento del sistema, deben
monitorizarse constantemente y mantenerse permanentemente actualizados.

Es de esperar que pronto aparezcan foros de seguridad para Mac OS X.
Mientras tanto, los foros de seguridad UNIX constituyen la mejor fuente
de información, y su seguimiento es imprescindible para prevenir
sorpresas.

La situación ha mejorado algo respecto al boletín de Xavier Caballe
publicado por HispaSec hace poco más de dos meses, pero todavía
tendremos que dejar pasar un tiempo antes de comprobar si Apple y la
comunidad Mac podrán capear una situación delicada absolutamente nueva
para ellos.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Computer Product Security Incident Response
http://www.apple.com/support/security/security.html

06/05/2001 - Mac OS X, la pérdida de la inocencia
http://www.hispasec.com/unaaldia.asp?id=924

TidBITS-es#577/23-Abr-01
http://www.tidbits.com/tb-issues/lang/es/TidBITS-es-577.html

CERT® Advisory CA-2001-07 File Globbing Vulnerabilities in Various FTP
Servers
http://www.cert.org/advisories/CA-2001-07.html

TidBITS-es#578/30-Abr-01
http://www.tidbits.com/tb-issues/lang/es/TidBITS-es-578.html

TidBITS-es#579/07-May-01
http://www.tidbits.com/tb-issues/lang/es/TidBITS-es-579.html

Agujeros de seguridad en el OS X

http://www.noticias.com/noticias/2001/0107/n01070540.htm



lunes, 16 de julio de 2001

Un control ActiveX deja vulnerable a Outlook

El control Microsoft Outlook View es un control ActiveX que permite la
visualización de las carpetas de correo Outlook como páginas web. El
control sólo debe permitir operaciones pasivas como la visualización del
correo o los datos del calendario. Pero en realidad existe una función
en este control que permite a la página web manipular los datos Outlook.
Esto permitirá a un atacante borrar correo, cambiar la información del
calendario, o llevar a cabo cualquier otra acción a través de Outlook
incluyendo la ejecución de código arbitrario en la máquina del usuario.
Los sitios web maliciosos exponen el mayor riesgo respecto a esta
vulnerabilidad. Si un usuario visita una página web controlada por un
atacante un script en la página podrá llamar al control cuando la página
se abra, en ese momento el script empleará el control para llevar a cabo
cualquier acción deseada sobre los datos Outlook del usuario.

El atacante puede intentar reproducir el efecto desde un e-mail html
enviado al usuario. En este e-mail se efectua la llamada al control de
igual forma que a través de una página web, sin embargo, si se encuantra
instalado el Outlook E-mail Security Update se detendrá esta forma de
ataque. Ya que esta actualización hace que los e-mails html se abran en
la zona de sitios restringidos (Restricted Sites Zone), donde los
controles ActiveX se inhabilitan por defecto.

Microsoft está desarrollando un parche para paliar los efectos de esta
vulnerabilidad. Mientras que el parche está en desarrollo se recomienda
inhabilitar los controles ActiveX controls en la Zona Internet para
protegerse contra el ataque descrito anteriormente. Mediante políticas
de grupo (Group Policy) se puede hacer que este cambio de configuración
se realice en toda la red automáticamente.

Se recomienda la instalación de Outlook E-mail Security Update en caso
de que no se haya instalado previamente.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-038):
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp

Aviso de Guninski:
http://www.guninski.com/vv2xp.html



domingo, 15 de julio de 2001

Recomendaciones de la NSA para configuración segura en Windows 2000

La Agencia de Seguridad Nacional de los Estados Unidos ha puesto a
disposición de los usuarios de Windows 2000 una serie de directrices
con en fin de facilitar una mejor administración del sistema operativo
de Microsoft.
El pasado 16 de junio informábamos de esta misma noticia desde
nuestro servicio de noticias "una al día". Pero a la vez que nos
hacíamos eco de esta información avisábamos que en esos momentos
la dirección de bajada no estaba operativa. Pues bien, en estos
momentos podemos informar a nuestros lectores, que la dirección esta
totalmente accesible, aunque desde la dirección que a continuación
reseñamos.

http://nsa1.www.conxion.com/win2k/download.htm

La documentación liberada consta de 5 plantillas para usar con el
editor de configuración de seguridad, más otros 17 archivos pdf
que tratan fundamentalmente sobre seguridad en Windows 2000.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Windows 2000 Security Recommendation Guides
http://nsa1.www.conxion.com/win2k/index.html

Recomendaciones de la NSA para asegurar servidores Windows 2000
http://www.hispasec.com/unaaldia.asp?id=965



sábado, 14 de julio de 2001

IBM presenta una herramienta de seguridad para redes inalámbricas

IBM ha presentado una demostración tecnológica de una herramienta de
auditoria de la seguridad para redes inalámbricas (wireless). Se trata de
la primera herramienta existente para la realización de auditorías y
recopilación de información relacionada con la seguridad, de forma
automática, en las redes inalámbricas 802.11.
Wireless Security Auditor es el prototipo de una aplicación que funciona
en Linux y permite a los administradores de red la localización de la
existencia de puntos de acceso vulnerables así como la verificación de su
corrección y/o eliminación para que no continúen siendo una amenaza a la
seguridad de la red.

La aplicación puede ejecutarse bien desde un ordenador portátil o desde un
asistente personal (Compaq iPAQ) que pueda acceder a la red mediante una
conexión inalámbrica. La información de auditoría se visualiza con un
código de colores. Así los puntos de acceso correctamente configurados
aparecen en verde mientras que los puntos vulnerables son visualizados en
rojo. También proporciona información detallada de todos los puntos de
acceso, como son los nombres de la estación y la red, su dirección,
localización y el estado de su seguridad.

Los mecanismos de seguridad existentes para las redes inalámbricas 802.11
consisten en dos subsistemas: una técnica de encriptación denominada Wired
Equivalent Privacy (WEP) y un algoritmo de autenticación denominado Shared
Key Authentication. Tanto WEP como Shared Key son opcionales y
habitualmente los puntos de conexión de las redes inalámbricas son
distribuidos con ambas funciones desactivadas.

La seguridad de las redes inalámbricas debe ser verificado con frecuencia
ya que es frecuente la incorporación de nuevos dispositivos, lo que puede
repercutir en la aparición de nuevos puntos de acceso para los atacantes.
Esta nueva herramienta permitirá a los consultores de seguridad determinar
la existencia de puntos de entrada, la comprobación de su configuración y
la adopción de las medidas necesarias para garantizar el nivel de
seguridad de la red inalámbrica.

Esta herramienta está en período de pruebas y IBM está buscando candidatos
para realizar pruebas de la versión beta.

Más información:

IBM Wireless Security Auditor (WSA)
http://www.research.ibm.com/gsal/wsa/

Versión original de esta noticia (en catalán)
http://www.quands.com/misc/html/ibm-wireless-auditing.html




Xavier Caballe
xcaballe@quands.com



viernes, 13 de julio de 2001

Problemas de seguridad en "Safe Harbor"

El pasado miércoles, día 9 de julio, uno o varios atacantes se
introdujeron en el sitio web gubernamental "Safe Harbor".
Safe Harbor es un programa conjunto realizado entre Estado Unidos y la
Unión Europea con el fin de favorecer la adecuación a las leyes sobre
la protección de datos vigentes en la UE por parte de empresas
norteamericanas. Para ello las empresas que deseen inscribirse a
Safe Harbor, deben certificar que sus prácticas de privacidad interna
están conforme a las leyes europeas. Anecdóticamente comentaremos que
en esta fecha únicamente 72 empresas estadounidenses se hayan incluidas
en este plan.

Si entramos en el mencionado sitio web, encontraremos una nota
aclaratoria, que nos informa que el ya mencionado miércoles fueron
modificadas dos páginas web de este sitio. En información facilitada por
oficiales del Departamento de Comercio, estos responsables comentaron
que no había indicios que los intrusos hubieran podido acceder a
información sensible, no obstante contnúan las investigaciones sobre
la intrusión.

Jeff Rohlmeier, especialista en comercio internacional del
Departamento de Comercio, dijo,"Seguimos examinando la situación,
estamos en proceso de ponernos en contacto con todos los participantes
de Safe Harbor para asegurarles que no hemos encontrado ningún dato
comprometido".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

U.S. scrutinizes security hole at privacy site
http://news.cnet.com/news/0-1003-200-6477431.html?tag=cd_mh

Safe Harbor
http://www.export.gov/safeharbor

Recelos en Europa por el plan de protección de datos estadounidense
http://www.hispasec.com/unaaldia.asp?id=179


jueves, 12 de julio de 2001

Vulnerabilidad en diversos gateways WAP

En un entorno de navegador, cuando se realiza la conexión a un sitio
empleando SSL/TLS el navegador comprueba de forma automática que la
parte del dominio en la URL coincide con el dominio en el certificado
X.509 que el servidor HTTPS presenta al conectarse a él.
Puesto que los certificados SSL evidencian que se han tratado de forzar
pues la firma criptográfica se controla contra los certificados "raíz"
de las principales autoridades certificadoras (Thawte, Verisign, Global
Trust etc.) esta comprobación asegura que quien realiza la petición
está conectado al sitio correcto. Es decir, se segura contra ataques
de "hombre en el medio" (man-in-the-middle).

En un entorno de navegador, cuando se realiza la conexión a un sitio
empleando SSL/TLS el navegador comprueba de forma automática que la
parte del dominio en la URL coincide con el dominio en el certificado
X.509 que el servidor HTTPS presenta al conectarse a él.

Pero la mayoría de los Gateways WAP no realizan esta comprobación, o si
lo hacen, no se pasa ninguna información sobre discordancias al
teléfono. CMG está informado del problema existente en su pasarela que
será corregido en la siguiente actualización. La pasarela Openwave de
Phone.com es vulnerable con la configuración por defecto pero puede ser
solucionado a través de la interfaz de configuración. Mientras que la
pasarela de Nokia sobre HP/UX no es vulnerable.

Existe un test disponible en la dirección:
http://wap.z-y-g-o.com/cgi-bin/gateway_test
Este test comprobará si se devuelve un documento a través de HTTPS
incluso cuando el certificado SSL no coincida con el nombre bajo el que
se intenta acceder. Este test realiza dos peticiones WSP GET, la primera
empleando HTTPS con el nombre correcto y la segunda empleando HTTPS con
un nombre incorrecto. La segunda petición no deberá de devolver ningún
documento.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso original en Bugtraq:
http://wap.z-y-g-o.com/bugtraq/1.txt



miércoles, 11 de julio de 2001

Vulnerabilidad en FireWall-1 con paquetes RDP falseados

Un atacante podrá evitar las restricciones impuestas por un cortafuegos
FireWall-1 4.1 mediante el uso de paquetes RDP falseados.
RDP (Reliable Data Protocol, RFC 908) se emplea por FireWall-1 en lo más
alto de User Datagram Protocol (UDP) para establecer las sesiones
cifradas. Las reglas administrativas de FireWall-1 permiten conexiones
arbitrarias RDP para atravesar el firewall. Solo el puerto de destino
(259) y el comando RDP se verifican por FireWall-1. Si un atacante añade
una cabecera RDP falseada al tráfico UDP normal cualquier contenido
puede ser pasado al puerto 259 desde cualquier host remoto a cualquier
lado del firewall.

Esta vulnerabilidad que afecta a los productos de Check Point VPN-1 y
FireWall-1 4.1 permitirá a un atacante podrá construir un túnel entre
hosts a ambos lados del firewall para atravesar sus reglas. También
puede emplearse esta vulnerabilidad para escuchar y capturar los nombres
de usuario y contraseñas de los usuarios o crear ataques de denegación
de servicio contra el firewall.

Como contramedidas se proponen comentar la línea 2646 del archivo
crypt.def ( accept_fw1_rdp; ). Desactivar reglas implícitas en el editor
de políticas de Check Point o bBloquear el tráfico UDP al puerto 259 en
el router perimetral.

Por su parte Check Point ha publicado un parche para cubrir los efectos
que pueda tener esta vulnerabilidad. Los usuarios deberán actualizar el
producto VPN-1/FireWall-1 4.1 con el Service Pack 4 e instalar
posteriormente el parche para SP4. El parche sólo será necesario
aplicarlo a las estaciones de administración, no en los módulos del
firewall.

El parche puede descargarse del sitio de download por suscripción de
Check Point en: http://www.checkpoint.com/techsupport/downloads.html
mediante las siguientes opciones:

Product: VPN-1/ FireWall-1
Version: 4.1
Operating System: [SO Apropiado]
Encryption: [VPN+Des o VPN+Strong]
SP/Patch Level: [Parche Apropiado]



Antonio Ropero
antonior@hispaec.com


Más información:

Aviso de Inside Security GmbH:
http://www.inside-security.de/advisories/fw1_rdp.html

Aviso de seguridad del CERT:
http://www.cert.org/advisories/CA-2001-17.html

Aviso de seguridad de Check Point:
http://www.checkpoint.com/techsupport/alerts/rdp.html



martes, 10 de julio de 2001

Vulnerabilidad en Whodo de Solaris

Una vulnerabilidad que afecta al programa whodo en Solaris en algunas
de sus versiones, puede facilitar a un atacante hacerse con el
control de la máquina atacada.
Whodo es un programa que se instala por defecto como setuid root en
Solaris y tiene como función el monitorizar los usuarios en línea y
sus actividades.

Este programa se ve afectado por una vulnerabilidad en el tratamiento
de datos de las variables de entorno, si el tamaño de las variables
exceden el tamaño predefinido se producirá un desbordamiento de búfer.
Un atacante podría explotar esta vulnerabilidad haciéndose con el
control de la máquina atacada.

Los parches para esta vulnerabilidad no se encuentran aún, pero una
solución rápida aconsejada por Sun es el desactivar el suid bit.

/usr/sbin/sparcv7/whodo (SunOS 5.8 Sparc)
/usr/sbin/i86/whodo (SunOS 5.8, 5.7 Intel)
/usr/sbin/whodo (SunOS 5.5.1)



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Solaris whodo Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2935



lunes, 9 de julio de 2001

Procesado el hacker del incidente "Viagra a Bill Gates"

Raphael Gray, un joven de 19 años natural de Clynderwen, País de Gales,
ha sido condenado a 3 años de tratamientos en un centro de rehabilitación
psiquiátrico, acusado de robar 23.000 números de tarjetas de créditos
en diferentes webs británicos, canadienses y de EE.UU. Entre otras
"hazañas", Gray saltó a la fama por enviarle un gran pedido de Viagra
a Bill Gates, previo pago por Internet con la tarjeta de crédito del
propio presidente de Microsoft.
Bajo el seudónimo de "Curador", se dedicó durante un mes a penetrar
en sitios de comercio electrónico de los cuales sustraía los números
de tarjetas de créditos de sus usuarios. Después de la fase de
recolección, Gray publicó los números en su propia web, al alcance de
cualquier usuario de Internet. Según algunas valoraciones, el incidente
causó perdidas millonarias por la utilización fraudulenta de los
números de las tarjetas de créditos publicados y, al menos, el cierre
de dos empresas. Gray fue detenido en mayo del año pasado, después de
una intensa investigación por parte del FBI, la Policía Montada del
Canadá y consultores de seguridad Internet.

Durante el juicio, el argumento de la defensa se basó en demostrar
que en ningún momento Gray se enriqueció con los incidentes que provocó,
y que sus acciones eran derivadas de problemas psicológicos que
arrastraba desde los 14 años. El abogado defensor hizo hincapié en
que Gray no era consciente de los daños que estaba causando, y que
sufría una obsesión en su cruzada por demostrar la debilidad de estos
sitios webs. De ahí no es de extrañar que a Gray le gustara llamarse
"el santo del comercio electrónico", tal y como rezaba en su sitio web.

En declaraciones después de conocer la sentencia, Gray afirma que no
se arrepiente de sus acciones, si bien cambiaría la forma de llevarlas
a cabo para ajustarse más a la ley y causar menos daños a terceros.

La sentencia no deja nada satisfecha a la acusación, quiénes esperaban
una condena más dura que sirviera cómo advertencia a potenciales
atacantes.



Bernardo Quintero
bernardo@hispasec.com


Más información:

CNN:
http://www.cnn.com/2001/TECH/internet/07/06/hacker.fbi/index.html



domingo, 8 de julio de 2001

Vulnerabilidad en Oracle 8i

Se ha detectado recientemente una vulnerabilidad en el software para
base de datos Oracle 8i de la compañía Oracle Corporation.
El problema está situado en el modo que "listener", encargado de
gestionar las comunicaciones entre los usuarios y las bases de datos.
Si un usuario malintencionado enviara una gran cantidad de datos,
podría conseguir un desbordamiento de buffer. Si a esto le añadimos
que entre los datos enviados masivamente podría ser insertado código
malévolo, el atacante conseguiría hacerse con el control del sistema
atacado.

Oracle ha solucionado el problema en su versión 9i, no obstante pone
a disposición de sus usuarios registrandos los correspondientes parches
para las versiones anteriores en la dirección:

http://otn.oracle.com/software/content.html



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Oracle
http://www.oracle.com/global/es/

Se descubre un agujero de seguridad en el software Oracle 8i
http://www.zdnet-es.com/canales/zdnn/mostrarnoticias.html?id=3090



sábado, 7 de julio de 2001

El servidor SMTP puede permitir el relay

Existe una vulnerabilidad en el proceso de autentificación empleado en
el servicio SMTP de Windows 2000 que puede permitir a un atacante
emplear dicho servicio para el envío de spam.
El servidor SMTP se instala por defecto como parte de Windows 2000
Server y puede ser seleccionado para su instalación dentro de Windows
2000 Professional. Existe una vulnerabilidad en este servicio que puede
permitir a un usuario sin autorización autentificarse en el servicio
mediante falsas credenciales. Un atacante que explote esta
vulnerabilidad puede conseguir privilegios de usuario sobre el servicio
SMTP, lo que le posibilitará hacer uso del servicio pero no llegar a
administrarlo.

Los servidores Exchange (incluso bajo Windows 2000) no se ven afectados
por esta vulnerabilidad. El principal propósito que puede tener un
atacante para explotar esta vulnerabilidad es realizar relay y emplear
el servidor SMTP para envío de spam o mails masivos.

Para evitar esta vulnerabilidad Microsoft publica un parche, disponible
en todos los idiomas (incluido español), en la dirección
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31181



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-37):
http://www.microsoft.com/technet/security/bulletin/MS01-037.asp



viernes, 6 de julio de 2001

Compromiso de seguridad en el web de Apache

El pasado 30 de Mayo de 2.001, atacantes desconocidos accedieron al
servidor de la Apache Software Foundation (ASF), logrando el control
sobre las listas de correo, los servicios web y los archivos de código
fuente de todos los proyectos ASF.
La Apache Software Foundation (ASF) es una fundación creada para dar
cobertura legal, organizativa y económica a los proyectos Apache. Se
trata de proyectos "open source", del que el máximo exponente -aunque no
el único- es el servidor web Apache, el más utilizado de Internet.

La intrusión en la máquina de la ASF fue detectada rápidamente. El
servidor fue desconectado de Internet para analizar el alcance de la
intrusión y para reparar los daños causados, y ya se encuentra
disponible de nuevo en la red.

La auditoría realizada ha mostrado que no existe ninguna evidencia de
que se haya modificado ningún archivo de los proyectos Apache. Se han
verificado todos los archivos del sistema y se ha procedido a eliminar
caballos de troya y a reinstalar el sistema operativo y claves de acceso
nuevas.

El ataque tuvo lugar de la siguiente manera:

El 17 de Mayo de 2.001, uno de los desarrolladores Apache accedió a su
cuenta SourceForge a través de SSH. El cliente SSH de "SourceForge"
había sido manipulado por un atacante desconocido para que almacenase
los destinos, nombres de usuario y contraseñas de todas las conexiones
SSH salientes. Dado que el desarrollador Apache se conectó a la máquina
ASF desde su cuenta SourceForge, sus datos de acceso quedaron accesibles
para el atacante que había instalado el caballo de troya.

Dicho atacante conseguía, así, una cuenta SHELL en la máquina ASF,
aprovechando una vulnerabilidad en el OpenSSH 2.2 para conseguir
privilegios de administrador o "root". Con dicho nivel de acceso,
procedió a instalar troyanos con el fin de capturar más datos de
conexión de otros usuarios.

El sistema de auditoría automática, que se ejecuta de forma diaria,
detectó la modificación de diversos ficheros importantes, notificando
dicho hecho a los administradores de ASF, que adoptaron las medidas
apropiadas para verificar el alcance de la intrusión y restaurar el
sistema.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache.Org compromise report, May 30th, 2001
http://www.apache.org/info/hack-20010519.html

Cowboy cracker nails Apache
http://www.theregister.co.uk/content/8/19350.html

Hackers check out Apache source code - all of it
http://www.securitywatch.com/newsforward/default.asp?AID=7841

Apache Software Foundation
http://www.apache.org/



jueves, 5 de julio de 2001

Compromiso de seguridad en SourceForge

El popular sitio web SourceForge ha sido objeto de un grave compromiso
de seguridad, dado a conocer a principios de Junio de 2.001.
SourceForge es un proyecto totalmente gratuito diseñado para
proporcionar infraestructura tecnológica a proyectos y desarrollos
software, fundamentalmente dentro del ámbito "Open Source". Proporciona
página web personal para cada proyecto, sistema de control de versiones,
listas de correo, "trackers" de bugs, peticiones de mejoras, etc.,
herramientas de notificación de eventos, y muchos más servicios. Se
trata de un verdadero pilar de la comunidad "Open Source", ya que
facilita la creación de nuevos proyectos sin que sus autores deban
dedicar ningún tipo de infraestructura propia.

En estos momentos SourceForge cuenta con 204.371 usuarios registrados, y
hospeda 23.039 proyectos.

Los atacantes instalaron un servicio SSH modificado para capturar
nombres de usuario, contraseñas y máquinas, lo que les permitía atacar
otros sistemas utilizando usuarios y contraseñas reales. De hecho el
ataque sobre la ASF, que se documentará en el próximo boletín, tuvo
lugar de esta manera.

SourceForge recomienda a todos los usuarios que hayan utilizado sus
servicios, que modifiquen la clave en cualquier sistema cuya clave de
acceso coincida con la clave SourceForge, y que modifiquen la clave
SourceForge misma.

Una vez más insistimos a nuestros lectores en la conveniencia de no
reutilizar las claves en servicios diferentes, sobre todo cuando estamos
hablando de servicios o privilegios de acceso críticos. Cada servicio
debería, idealmente, tener sino un nombre de usuario distinto, sí al
menos una clave diferente.

SourceForge no ha proporcionado detalles sobre los mecanismos utilizados
por el ataque en sí.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SourceForge
http://sourceforge.net/

Linux hackers fall victim to crackers
http://www.theregister.co.uk/content/8/19255.html

SourceForge Server Compromised
http://slashdot.org/developers/01/05/28/2242201.shtml

.f.k.u.f.f.y.b.u.n.n.u.x.
http://defaced.alldas.de/mirror/2001/05/31/themes.org/

SourceForge
http://sourceforge.net/



miércoles, 4 de julio de 2001

Vulnerabilidad de cross-site script en múltiples servidores

Se han descubierto vulnerabilidades de cross-site scripting en el
servidor web Domino de Lotus y en otros servidores de servlets de
Java como Tomcat, WebSphere, JRun y Resin.
Se ha descubierto que un gran número de servidores se encuentran
afectados por vulnerabilidades de cross-site scripting, que permite
que usuarios remotos creen URLs especialmente modificadas que
provoquen que código JavaScript sea ejecutado por otros usuarios.

En el servidor Lotus Domino la vulnerabilidad afecta mediante una
URL de la siguiente forma:
http://host/home.nsf/
por la que un atacante puede llegar a ejecutar código JavaScript.

La vulnerabilidad también afecta a Tomcat 3.2.1, JRun 3.0, JRun 2.3.3,
WebSphere 3.5 FP2, VisualAge for Java 3.5 Professional y Resin 1.2.2,
las URLs que permiten reproducir el problema son las siguientes:

En Tomcat 3.2.1:
http://host/jsp-mapped-dir/<SCRIPT>alert(document.cookie)</SCRIPT>.jsp
En JRun 3.0 y JRun 2.3.3:
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>.shtml
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>.jsp
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>.thtml
En WebSphere 3.5 FP2:
http://host/webapp/examples/<SCRIPT>alert(document.cookie)</SCRIPT>
En WebSphere 3.02:
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>.jsp
En VisualAge for Java 3.5 Professional:
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>
En Resin 1.2.2:
http://host/<SCRIPT>alert(document.cookie)</SCRIPT>.jsp
http://host/<SCRIPT>document.write(document.cookie)</SCRIPT>.jsp

En todos los casos estas peticiones producen una salida similar
a la siguiente:

=================================================
Error 404
An error has occurred while processing request:
http://WebSphere/webapp/examples/******

Message: File not found: file://******
StackTrace: com.ibm.servlet.engine.webapp.WebAppErrorReport: File not found: file://******
at javax.servlet.ServletException.(ServletException.java:107)
at com.ibm.websphere.servlet.error.ServletErrorReport.(ServletErrorReport.java:31)
at com.ibm.servlet.engine.webapp.WebAppErrorReport.(WebAppErrorReport.java:20)
at com.ibm.servlet.engine.webapp.WebAppDispatcherResponse.sendError(WebAppDispatcherResponse.java:97)
...
=================================================
******: El código JavaScript se ejecutará aquí.

Allaire ya ha publicado un parche para evitar este problema en
las versiones afectadas de JRun.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
Multiple Vendor Java Servlet Container Cross-Site Scripting Vulnerability
http://www.securityfocus.com/archive/1/194464

Bugtraq:
Lotus Domino Server Cross-Site Scripting Vulnerability
http://www.securityfocus.com/archive/1/194465

Información sobre cross-site scripting:
http://www.cert.org/advisories/CA-2000-02.html

Aviso de seguridad y parche de Allaire sobre JRun:
http://www.allaire.com/handlers/index.cfm?ID=21498&Method=Full



martes, 3 de julio de 2001

Vulnerabilidad de autentificación en IOS HTTP

Todos los dispositivos con Cisco IOS con versiones 11.3 y posteriores
se ven afectados por un problema de seguridad en la autentificación
que permitirá a un atacante tomar el control total del dispositivo
afectado.
Cuando el servidor HTTP está activado y se emplea autorización local,
es posible bajo ciertas circunstancias, evitar la autentificación y
ejecutar cualquier comando en el dispositivo. En dicho caso, el
usuario podrá tomar el control completo del dispositivo ya que todos
los comandos se ejecutarán con el mayor privilegio.

Se encuentran afectados por esta vulnerabilidad todos los dispositivos
con software Cisco IOS con versiones 11.3 y posteriores, lo que incluye
routers y switches con dicho software.

La contramedida recomendada pasa por inhabilitar elel servidor HTTP
en el router o emplear Terminal Access Controller Access Control
System (TACACS+) o Radius para la autentificación.

También se recomienda actualizar la versión del software IOS a la
ultima versión. Para ello y para hacerlo de forma adecuada, se
recomienda seguir las actualizaciones según la versión del software
de acuerdo a la tabla publicada en:
http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Cisco:
IOS HTTP Authorization Vulnerability
http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html



lunes, 2 de julio de 2001

Utilidad de Microsoft para optimizar los recursos en IIS 5

Uno de los problemas más frecuentes con los que se puede encontrar un
administrador de Windows e Internet Information Server es ver como los
recursos del sistema se consumen de forma inexplicable. En muchos casos
el problema puede ser debido a una programación deficiente de alguna
aplicación web, procesos que no se cierran, etc. Para evitar y
solucionar todos estos problemas Microsoft publica una herramienta para
Servidores Windows 2000 con Internet Information Services 5.0.
Microsoft publica una utilidad que bajo el nombre de IIS 5.0 Process
Recycling Tool (IIS5Recycle), version 1.0, está destinada a funcionar
como un servicio en los sistemas Windows 2000 con Internet Information
Server 5.0. El propósito de IIS5Recycle es reciclar procesos,
minimizando los efectos de los problemas del consumo de recursos antes
de que el rendimiento y la fiabilidad se vean afectados.

Esta herramienta recicla de forma automática los procesos IIS en base a
configuraciones almacenadas en el registro. IIS5Recycle también permite
a los administradores recopilar información para descubrir problemas en
procesos y aplicaciones.

Gracias a esta nueva utilidad de Microsoft se puede minimizar el consumo
debido a pérdidas de memoria. Si un administrador sospecha que las
aplicaciones en ejecución en su servidor pierden memoria, podrá
programar procesos periódicos de reciclado de los procesos IIS para
liberar recursos consumidos por las aplicaciones web problemáticas.

Pero no basta con liberar la memoria, lo ideal siempre es intentar
corregir los problemas de esas aplicaciones web deficientes. Para ello
mediante la característica Advanced Scripting, el administrador podrá
recopilar información y logs sobre las aplicaciones web problemáticas
antes de que IIS recicle los procesos. Así de esta forma, mientras el
sitio Web sigue prestando servicio de forma habitual, los
desarrolladores podrán analizar los logs y corregir los problemas
encontrados.

IIS5Recycle puede descargarse de la dirección

http://download.microsoft.com/download/iis50/Utility/1.0/NT5/EN-US/Iis5Recycle.exe



Antonio Ropero
antonior@hispasec.com


Más información:

Información sobre IIS5Recycle:
http://www.microsoft.com/downloads/release.asp?releaseid=31106

Descarga de IIS5Recycle:
http://download.microsoft.com/download/iis50/Utility/1.0/NT5/EN-US/Iis5Recycle.exe



domingo, 1 de julio de 2001

Nuevos contenidos CriptoRed (junio 2001)

Breve resumen de las novedades producidas durante el mes de junio de
2001 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información
1. Congresos, Seminarios, Cursos, Jornadas:
1er Congreso Iberoamericano de Seguridad Informática (México)
Ir a:
http://www.congresoseg.itmorelia.edu.mx/
I Congreso Internacional de la Sociedad de la Información (España)
Ir a:
http://www.cisic.org/
VI Seminario Iberoamericano de Seguridad en NTIs (Cuba)
Escribir a: i2002@seg.inf.cu
I Jornada Nacional de Seguridad Informática en Colombia
Ir a:
http://www.acis.org.co/Paginas/eventos/jornadaseguridad02.html
1er Evento Internacional de Matemática para Ingeniería
Escribir a: mat@fie.uo.edu.cu
Curso de Seguridad en Internet de HispaSec e ISI
Ir a:
http://www.hispasec.com/formacion/intro.htm
Curso de seguridad avanzada en redes IP e Internet
Ir a:
http://www.LMdata.es/agenda2.htm#PSSEG
Ciclo de Conferencias de Seguridad Informática en la UPM
Ir a:
http://www.lpsi.eui.upm.es/Sinformatica/Sinformatica.htm

2. Libros electrónicos:
"Seguridad Computacional"
"Criptografía y Seguridad en Computadores" 3a ed.
Ir a:
http://www.criptored.upm.es/paginas/docencia.htm#librose

3. Guías de Teoría, artículos:
Guía de Auditoría Software Original de BSA
Ir a:
http://www.bsa.org/espana/tregua/guia.pdf
"Seguridad e-commerce: Aspectos técnicos"
"Virus Informáticos y otros BITchos"
Ir a:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

4. Difusión de CriptoRed en Latinoamérica:
Visita a Venezuela: Universidad de Los Andes y Universidad Simón
Bolívar.
Ir a: http://www.usb.ve/; Ir a: http://www.ula.ve/
Las próximas visitas en este año 2001, de acuerdo al programa del
proyecto UPM, serán a México y Cuba.

5. Otros:
Enlace a CriptoRed desde RedIRIS
Ir a: http://criptored.rediris.es/
Número de miembros: 229 (58 empresas y organismos oficiales; 75
universidades, 2 cámaras de comercio electrónico, 3 centros de
investigación, 1 asociación de técnicos)
Ir a: http://www.criptored.upm.es/paginas/particulares.htm
Ir a:
http://www.criptored.upm.es/paginas/miembros_red_inst.htm

Más información:

CriptoRed
http://www.criptored.upm.es

23/04/2000 CriptoRed: Red Iberoamericana de Criptografía
http://www.hispasec.com/unaaldia.asp?id=544

30/11/2000 CriptoRed cumple un año
http://www.hispasec.com/unaaldia.asp?id=767

03/02/2001 Nuevos contenidos en CriptoRed
http://www.hispasec.com/unaaldia.asp?id=832

04/05/2001 - Novedades y nuevos contenidos en CriptoRed
http://www.hispasec.com/unaaldia.asp?id=922

05/06/2001 - Actualización de contenidos en CriptoRed
http://www.hispasec.com/unaaldia.asp?id=954




Dr. Jorge Ramió Aguirre
jramio@eui.upm.es