sábado, 31 de mayo de 2003

Fallo de autenticación en webcams y servidores de vídeo Axis

Se ha detectado una grave vulnerabilidad en varios modelos de webcam
y servidores de vídeo Axis, que permitirían a un usuario malicioso
tomar el control total de estos.

Los dispositivos afectados por el problema son los siguientes:
- Webcams AXIS 2100, versiones 2.32 y anteriores
- Webcams AXIS 2110, versiones 2.32 y anteriores
- Webcams AXIS 2120, versiones 2.32 y anteriores
- Webcams AXIS 2130 PTZ, versiones 2.32 y anteriores
- Servidor de Vídeo AXIS 2400, versiones 2.32 y anteriores
- Servidor de Vídeo AXIS 2401, versiones 2.32 y anteriores
- Webcams AXIS 2420, versiones 2.32 y anteriores
- Network DVR AXIS 2460, versiones 3.00 y anteriores
- Servidor de Vídeo AXIS 250S, versiones 3.02 y anteriores

Estos dispositivos disponen de un conjunto de herramientas de
administración vía web a través de una dirección como la siguiente:

http://IP-de-la-camara/admin/admin.shtml

El acceso a través de ese interfaz requiere, por supuesto, un
nombre de usuario y clave, pero la vulnerabilidad permite precisamente
saltarse este mecanismo de autenticación. La técnica para llevar esto
a cabo consiste en algo tan simple como añadir una barra más en el
camino descrito tras la IP de la cámara:

http://IP-de-la-camara//admin/admin.shtml

Este sencillo procedimiento permite al usuario malicioso acceder
directamente a la configuración, pudiendo así modificar la clave
del administrador y activar el servidor telnet. Esto le permitiría
acceder libremente y ejecutar comandos arbitrarios con derechos
del susodicho usuario.

Se recomienda actualizar los dispositivos con la mayor brevedad
posible. Las versiones que solventan este problema pueden encontrarse
en las siguientes direcciones (según producto):

Webcams AXIS 2100
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2100/2_34/

Webcams AXIS 2110
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2110/2_34/

Webcams AXIS 2120
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2120/2_34/

Webcams AXIS 2130 PTZ
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2130/2_34/

Servidor de Vídeo AXIS 2400
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2400/2_34/

Servidor de Vídeo AXIS 2401
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2401/2_34/

Webcams AXIS 2420
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2420/2_34/

Network DVR AXIS 2460
ftp://ftp.axis.com/pub_soft/cam_srv/cam_2460/3_10/

Servidor de Vídeo AXIS 250S
ftp://ftp.axis.com/pub_soft/cam_srv/cam_250s/3_03/


Julio Canto
jcanto@hispasec.com


Más información:

Axis Network Camera HTTP Authentication Bypass
http://www.coresecurity.com/common/showdoc.php?idx=329&idxseccion=10

Axis Network Camera HTTP Authentication Bypass Vulnerability
http://www.secunia.com/advisories/8876/

viernes, 30 de mayo de 2003

Actualización para Internet Information Service

Se publica un parche acumulativo para IIS 4.0 y para IIS 5.0; que
incluyen todas las funcionalidades de los parches de seguridad
publicados para IIS 4.0 desde Windows NT 4.0
Service Pack 6a, y todos los parches de seguridad publicados para IIS
5.0 desde Windows 2000 Service Pack 2 e IIS 5.1.

Además de todas las vulnerabilidades cubiertas en anteriores parches,
esta actualización también incluye las correcciones para las
siguientes nuevas vulnerabilidades que afectan a IIS 4.0, 5.0 y 5.1:

* Vulnerabilidad de Cross-Site Scripting (CSS) en IIS 4.0, 5.0 y 5.1
en relación a los mensajes de error que se devuelven para avisar de
que la URL solicitada ha sido redireccionada.

* Un desbordamiento de búfer debido a que IIS 5.0 no valida
correctamente las peticiones para determinados tipos de páginas web
conocidos como server side includes. El atacante deberá poder subir
una página server-side include al servidor IIS vulnerable, y tras ello
solicitar dicha página. Este problema permitirá al atacante lograr la
ejecución de código de su elección.

* Una vulnerabilidad de denegación de servicio que resulta de un fallo
en la forma en que IIS 4.0 y 5.0 asignan peticiones de memoria cuando
se construyen las cabeceras que se devuelven al cliente web. El
atacante deberá subir una página ASP al servidor IIS vulnerable. Esta
página ASP, cuando es llamada por el atacante, intentará devolver una
cabecera extremadamente larga al cliente. Como IIS no limita la
cantidad de memoria que se usa, podrá provocar la caída de IIS al
consumir toda la memoria local.

* Una vulnerabilidad de denegación de servicio debida a que IIS 5.0 y
5.1 no tratan adecuadamente una condición de error cuando se realiza
una petición WebDAV muy larga.

IIS 4.0
http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en

IIS 5.0
http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en

IIS 5.1 32-bit
http://microsoft.com/downloads/details.aspx?FamilyId=77CFE3EF-C5C5-401C-BC12-9F08154A5007&displaylang=en
IIS 5.1 64-bit
http://microsoft.com/downloads/details.aspx?FamilyId=86F4407E-B9BF-4490-9421-008407578D11&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-018
Cumulative Patch for Internet Information Service
http://www.microsoft.com/technet/security/bulletin/MS03-018.asp

What You Should Know About Microsoft Security Bulletin MS03-018
Security Update for Internet Information Services
http://www.microsoft.com/security/security_bulletins/ms03-018.asp

jueves, 29 de mayo de 2003

Acceso al buzón de cualquier usuario de correo web de Terra

En un reciente mensaje publicado en la lista de correo BugTraq se
informa de la existencia de una vulnerabilidad de cross-site scripting
en iPlanet Messaging Server. Para ilustrar el alcance de la
vulnerabilidad, se utiliza como ejemplo práctico el servicio de correo
web que ofrece Terra España, de forma que un atacante remoto puede
obtener toda la información necesaria para acceder al contenido de los
buzones de correo de los usuarios de este ISP.

Terra España, al igual que otras muchas empresas que ofrecen un
servicio de webmail, utiliza el servidor iPlanet Messaging Server (la
antigua Netscape y hoy una división de Sun Microsystems).

IPlanet Messaging Server utiliza un código único ("SID", identificador
de sesión) de 16-bits como mecanismo para la autenticación de la
sesión del usuario. Este SID es un campo que se envía dentro de la
URL, en forma de parámetro. Por tanto, un atacante que desee acceder
al correo de un usuario del servicio de correo web debe ingeniárselas
para obtener el valor de este SID. Una vez capturado este valor el
atacante podrá acceder al contenido del correo web hasta que finalice
la sesión.

La vulnerabilidad descubierta se basa en una 'característica' ofrecida
por el servidor de correo iPlanet: cuando se abre un archivo HTML
asociado a un mensaje, éste se abre dentro del contexto del servidor
de correo. Esto significa que tiene acceso al valor del SID que, como
hemos indicado anteriormente, es la información necesaria para acceder
al contenido del buzón.

¿Cómo puede un atacante obtener este SID? El atacante sólo necesita
enviar un mensaje que contenga un archivo HTML asociado con el
siguiente contenido:









Donde "Servidor" es una máquina que dispone de un servidor web
controlado por el atacante. En el momento en que el receptor del
mensaje visualice el contenido del mensaje, transmitirá al servidor
web remoto una petición donde se encontrará el campo SID:

http:///attach/file.html?sid=XYXYXYXYXYXYXY&
mbox=INBOX&uid=XXXXX&number=2&filename=file.html

Por tanto, el atacante acaba de recibir la información básica para
poder secuestrar el correo de la víctima, simplemente abriendo en su
navegador una URL como la siguiente:

http:////mail.html?sid=XYXYXYXYXYXYXY&
lang=es&host=http:///&cert=false&uid=

El campo Identificador_Usuario puede deducirse fácilmente. Es la
dirección de correo electrónico del usuario.

En el caso concreto de Terra España, debido a los mecanismos de
seguridad perimetrales existentes, el ataque debe modificarse
ligeramente. El cortafuegos utilizado por Terra realiza una filtrado
básico del tráfico de entrada para impedir la entrada de determinadas
marcas, como por ejemplo

Se puede generar un IFRAME de forma simple tecleando el siguiente
comando en el campo del mensaje:
">

Un operador de la webcam, puede escribir fuera de la caja interna
utilizada para la charla.

Por último, la utilización del comando
">
crea un IFRAME perfecto, si publicamos el mismo comando de manera
"incorrecta", es decir: