miércoles, 31 de agosto de 2005

Denegación de servicio en Apache

Se ha anunciado una vulnerabilidad en Apache que puede ser explotada
por usuarios maliciosos para provocar denegaciones de servicio.

El fallo reside en 'modules/http/http_protocol.c', la función
ap_byterange_filter() no trata adecuadamente las respuestas en memoria.
Un usuario remoto podrá enviar una petición http especialmente creada
al servidor web, lo que provocará que Apache consuma grandes cantidades
de memoria.

Hay disponible una corrección de código fuente disponible a través de
SVN. Las modificaciones del código están disponibles en:
http://svn.apache.org/viewcvs.cgi?rev=239378&view=rev


Antonio Ropero
antonior@hispasec.com


Más información:

Apache Memory Leak in 'byterange filter' Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2005/Aug/1014826.html

martes, 30 de agosto de 2005

Diversas vulnerabilidades en PHP 4

Se han descubierto tres nuevos fallos de seguridad en php4, que podrían
permitir a un atacante elevar sus privilegios o comprometer de forma
remota el sistema afectado.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a
la capacidad de lanzar consultas a bases de datos).

El primero de los problemas reside en la utilidad shtool, distribuida
con PHP, permite la creación de archivos temporales inseguros, por lo
que puede ser empleada por un usuario local para sobreescribir archivos
arbitrarios.

El segundo problema anunciado es que PEAR XML_RPC es vulnerable a una
ejecución remota de código PHP, lo que podía permitir que un atacante
comprometiese un servidor vulnerable. Por último un error en las
librerías XML-RPC puede permitir la inyección de código PHP arbitrario
a través de la función eval().

Diversas distribuciones de Linux (Debian, Slackware, SUSE, etc.) han
publicado paquetes actualizados que corrigen los problemas.


Antonio Ropero
antonior@hispasec.com


Más información:

CAN-2005-1751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1751

CAN-2005-1921
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1921

CAN-2005-2498
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498

[DSA 789-1] New PHP 4 packages fixseveral vulnerabilities
http://www.debian.org/security/2005/dsa-789

[slackware-security] PHP (SSA:2005-242-02)
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2005&m=slackware-security.481382

SUSE Security Announcement: php4/php5 Pear::XML_RPC code injection and PCRE integer overflow problems (SUSE-SA:2005:049)
http://www.novell.com/linux/security/advisories/2005_49_php.html

lunes, 29 de agosto de 2005

Ejecución arbitraria de comandos en HP Openview Network Node Manager

Se ha descubierto una vulnerabilidad en HP Openview Network Node
Manager. Este problema podría ser explotada por usuarios
maliciosos para comprometer sistemas donde corra HP Openview Network
Node Manager (OV NNM) en sus versiones 6.2, 6.4, 7.01 y 7.50.
El parámetro "node" presente en cgi-bin/connectedNodes.ovpl no es
saneado convenientemente antes de emplearse como un argumento de línea
de comandos. Esto podría conducir a la ejecución de comandos shell
arbitrarios, a través de cadenas especialmente preparadas.

Este problema ha sido hallado en otros scripts CGI, como por ejemplo,
cdpView.ovpl, freeIPaddrs.ovpl, and ecscmg.ovpl.

Hasta que se libere un parche oficial, HP recomienda a los usuarios de
Openview que muevan "cgi-bin/connectedNodes.ovpl" a otro directorio.
Esta regla de ofuscación es extensible al resto de scripts afectados:
cdpView.ovpl, freeIPaddrs.ovpl, ecscmg.ovpl


Sergio Hernando
shernando@hispasec.com


Más información:

SSRT051023 rev.0 - HP Openview Network Node Manager (OV NNM) Remote Unauthorized Access
http://itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01224

HP OpenView Network Node Manager Input Validation Hole in 'connectedNodes.ovpl' Lets Remote Users Execute Arbitrary Commands
http://securitytracker.com/alerts/2005/Aug/1014791.html

domingo, 28 de agosto de 2005

Ejecución remota de código en Solaris 10 a través de cliente DHCP

Se ha anunciado la existencia de un problema en el cliente DHCP de
Sun Solaris 10, que podrá ser empleado por un usuario remoto para
conseguir el control de los sistemas vulnerables.

El problema reside en el script "/lib/svc/method/net-svc" que se ve
afectado por una vulnerabilidad sobre la que no se han facilitado los
detalles. Un atacante remoto podrá enviar múltiples nombres DNS en
respuesta a una consulta enviada desde el cliente objetivo. De esta
forma logrará la ejecución de código con privilegios de root en el
sistema del cliente DHCP afectado.

Este problema sólo afecta a Solaris 10, por lo que las versiones 8 y 8
de Solaris se ven libres de la vulnerabilidad.

Sun ha publicado las siguientes actualizaciones:

Para plataforma SPARC
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119593-01&method=h

Para plataforma x86
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119594-01&method=h


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in Solaris 10 "DHCP" Clients
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101897-1

sábado, 27 de agosto de 2005

Dos vulnerabilidades en el Kernel de Linux

Se han anunciado dos vulnerabilidades en el kernel de Linux, que
pueden ser explotadas por usuarios locales maliciosos para provocar
denegaciones de servicio o evitar ciertas restricciones de seguridad.

1) La función "setsockopt()" no está limitada a usuarios privilegiados
con la capacidad "CAP_NET_ADMIN". Esto puede ser empleado para evitar
políticas IPsec o asignar políticas no válidas para explotar otras
vulnerabilidades o consumir la memoria del kernel disponible.
Este problema queda resuelto en la versión 2.6.13-rc7 del kernel.

2) Un error en la función "syscall32_setup_pages()" en plataformas x86
64-bit puede ser explotado para provocar una fuga de memoria al
ejecutar una aplicación 32-bit maliciosa con cabeceras ELF
especialmente creadas.
Este problema queda resuelto en la versión 2.6.13-rc4 del kernel.


Antonio Ropero
antonior@hispasec.com


Más información:

CAN-2005-2555
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2555

CAN-2005-2617
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2617

ChangeLog Kernel:
http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.13-rc7
http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.13-rc4

viernes, 26 de agosto de 2005

Detenidos por los gusanos Zotob y Mytob

El FBI anuncia la detención en Marruecos de Farid Essebar, alias
"Diabl0", de 18 años de edad, y de su supuesto cómplice en Turquía
Atilla Ekici, alias "Coder", de 21 años. Ambos son los sospechosos de
distribuir los gusanos Zotob y Mytob. Según la investigación sus
prácticas tenían un móvil económico relacionado con el fraude a
usuarios de entidades financieras.

La detención fue llevada a cabo por las autoridades locales de
Marruecos y Turquía, en colaboración con la investigación del FBI.
De momento no hay mucha más información sobre el caso, a excepción
de algunas declaraciones de un directivo del FBI quién añadió que
los dos detenidos se conocían únicamente por Internet y que Microsoft
había jugado un papel importante en su localización, al ofrecer pistas
importantes que encontraron al analizar el código de los gusanos.

Lo cierto es que, efectivamente, el código original de Zotob incluye
el texto "Botzor2005 Made By .... Greetz to good friend Coder. Based
On HellBot3", y además el gusano intenta conectar por el puerto 8080
a un servidor IRC en la dirección "diabl0.turkcoders.net". Es probable
que ambas pistas, fruto de un exceso de confianza y/o ansias de
protagonismo del autor o autores, fueran claves para el inicio de la
investigación.

De confirmarse la implicación de los sospechosos estaríamos ante uno
de los casos más rápidos en la localización y detención de
responsables de infecciones causadas por un virus.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Nota de prensa del FBI:
http://www.fbi.gov/pressrel/pressrel05/zotob_release082605.htm

Nota de prensa de Microsoft:
http://www.microsoft.com/presspass/press/2005/aug05/08-26ZotobArrestPR.mspx

Young Moroccan hacker arrested for web virus
http://www.map.ma/eng/sections/general/young_moroccan_hacke4792/view

Suspected Zotob Worm Authors Arrested
http://www.washingtonpost.com/wp-dyn/content/article/2005/08/26/AR2005082601201.html

14/08/2005 Gusano "Zotob" aprovecha vulnerabilidad en Plug-and-Play de Windows
http://www.hispasec.com/unaaldia/2486

16/08/2005 Alerta: El gusano Zotob y otras variantes comienzan a causar estragos
http://www.hispasec.com/unaaldia/2488

Gusano "Zotob", tras la sombra de Blaster y Sasser
http://blog.hispasec.com/laboratorio/22

12/04/2005 - Fuerza bruta contra creatividad, los gusanos buscan el dinero
http://www.hispasec.com/unaaldia/2362

jueves, 25 de agosto de 2005

Actualización del kernel de Red Hat Enterprise Linux

Red Hat ha publicado una actualización del Kernel de Red Hat Enterprise
Linux 2.1 con objeto de evitar diversas vulnerabilidades, que pueden ser
explotadas por usuarios locales maliciosos para provocar denegaciones de
servicio o elevar sus privilegios.

* Un fallo entre la llamada execve() y el volcado de ejecutables en
formato ELF permite a usuarios locales sin privilegios provocar
denegaciones de servicio elevar sus privilegios.

* Un fallo al liberar un puntero en load_elf_library. Un usuario local
prodrá usar este error para provocar condicioens de denegación de
servicio.

* El driver Direct Rendering Manager (DRM) no comprueba adecuadamente
el bloqueo DMA, lo que permitirá a atacantes remotos o locales
provocar denegaciones de servicio o modificar la salida de vídeo.

* Un fallo en el driver serie moxa permitirá a usuarios locales llevar
a cabo operaciones privilegiadas.

Los paquetes actualizados están disponibles a través de Red Hat
Network.
http://rhn.redhat.com/


Antonio Ropero
antonior@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2005-529.html

miércoles, 24 de agosto de 2005

Vulnerabilidad en variable "SERVER_NAME" de Microsoft IIS

Se ha descubierto una vulnerabilidad en Microsoft Internet Information
Services (IIS) 5.0, 5.1 y 6.0, que podría ser explotada por atacantes
remotos para falsificar determinada información sobre el servidor web.

La vulnerabilidad está causada por un error cuando se determina la
variable de nombre de servidor "SERVER_NAME", y puede ser explotada
a través de peticiones HTTP especialmente preparadas. Un ataque exitoso
podría revelar información sensible relativa al código fuente de páginas
asp, o evitar comprobaciones de seguridad que se realicen desde
aplicaciones web que empleen la variable de nombre de servidor.

Hasta la publicación de parches oficiales, se recomienda revisar las
aplicaciones web que hagan uso de la variable "SERVER_NAME" y evitar
confiar en ella. En los servidores IIS 5.0 y 5.1 la página de error
por defecto 500-100.asp también es vulnerable, ya que realiza
operaciones basadas en la variable "SERVER_NAME". En los sistemas
IIS 6.0 aunque vulnerables al problema su página 500-100.asp no se
ve afectada.


Sergio Hernando
shernando@hispasec.com


Más información:

Remote IIS 5.x and IIS 6.0 Server Name Spoof
http://ingehenriksen.blogspot.com/2005/08/remote-iis-5x-and-iis-60-server-name.html

martes, 23 de agosto de 2005

Salto de restricciones de seguridad en BEA WebLogic 8.1 Portal

Se ha documentado un fallo en WebLogic Portal, que podría ser
explotado por usuarios maliciosos para evitar ciertas restricciones
de seguridad.

El problema está causado por un error en la gestión de derechos de
usuario, que podría ser invocada a través de URLs especialmente
preparadas para permitir acceso a sitios donde el usuario no está
autorizado.

El atacante podrá evitar cualquier restricción de acceso si los derechos
se han asignado y colocado directamente en libros de escritorio, páginas
y "portlets". No se ven afectados los sitios con las restricciones situadas
en Portales construidos desde librerías, páginas y "portlets".

Para actualizar, debe descargarse el parche disponible en
ftp://ftpna.beasys.com/pub/releases/security/patch_CR238578_81SP4.zip
Este parche requiere la existencia de Service Pack 4


Sergio Hernando
shernando@hispasec.com


Más información:

Security Advisory: (BEA05-84.00)
A patch is available to enforce correct access restrictions
http://dev2dev.bea.com/pub/advisory/137

lunes, 22 de agosto de 2005

Múltiples actualizaciones para SUSE

Se han publicado múltiples actualizaciones para SUSE, para evitar
diversos problemas de denegación de servicio, cross site scripting o
acceso no autorizado al sistema.

Las vulnerabilidades corregidas son las siguientes:
* pstopnm usa ghostscript sin -dSAFER
* Diversos problemas de seguridad en gaim
* Denegación de servicio en el programa de mensajería instantanea de
KDE kopete
* Problemas de cross site scripting en squirrelmail
* Ejecución remota de código con awstats
* Denegación de servicio en powerdns
* Denegación de servicio en gpdf
* Denegación de servicio en kpdf
* Cross site scripting en mediawiki
* wipe deja copias del archivo original tras su ejecución
* Diversos problemas de seguridad en ethereal

Los paquetes actualizados están disponibles a través de YaST Online
Update o del sitio FTP de SUSE.


Antonio Ropero
antonior@hispasec.com


Más información:

SUSE Security Summary Report SUSE-SR:2005:019
http://www.novell.com/linux/security/advisories/2005_19_sr.html

domingo, 21 de agosto de 2005

Vulnerabilidad en MSDDS.DLL explotable a través de Internet Explorer

En los últimos días ha existido mucha expectación alrededor de un
exploit que podía causar la ejecución de código remoto al visitar una
página web diseñada al efecto con Internet Explorer. Microsoft ya ha
confirmado la vulnerabilidad y al mismo tiempo despeja las dudas sobre
el alcance de la misma, al delimitar las versiones del componente
afectado.

Aunque desde un primer momento se comprobó que el componente afectado,
Microsoft DDS Library Shape Control (MSDDS.DLL), no se instalaba por
defecto con Windows, existían dudas sobre que aplicaciones podían
instalarlo.

Así los primeros rumores apuntaban a que formaba parte de Microsoft
Visual Studio .NET y de Microsoft Office. También se comprobó que
el exploit funcionaba con la versión 7.0.9064.9912 de MSDDS.DLL, pero
se desconocía que otras versiones podían estar afectadas.

Microsoft ha publicado un aviso de seguridad donde, además de confirmar
la vulnerabilidad, despeja las incógnitas de las versiones vulnerables
y que aplicaciones la incluyen. A efectos prácticos limita mucho el
número de sistemas que pueden estar afectados, en comparación con la
expectación inicial que levantó el exploit.

Las versiones de MSDDS.DLL afectadas son la 7.0.9064.9112 y la
7.0.9446.0.

Una de estas versiones vulnerables se instala con Microsoft Visual
Studio 2002. Los usuarios afectados pueden actualizarse con el
Service Pack 1 de Microsoft Visual Studio 2002 que instala una versión
superior de MSDSSL.DLL no vulnerable, disponible en la dirección
http://msdn.microsoft.com/vstudio/downloads/updates/sp/

Aunque los usuarios de Microsoft Office XP Service Pack 3 no se
encuentran afectados por defecto, podrían ser vulnerables si por
cualquier causa los archivos MSVCR70.DLL y MSVSCP70.DLL se encuentran
en el mismo directorio que MSDDS.DLL o en la carpeta system32 de
Windows.

Una forma fácil de descartar que nuestro sistema se encuentra afectado
es buscar el archivo MSDDS.DLL en nuestros discos duros, por ejemplo
a través de la propia herramienta de buscar archivos de Windows. Si
no se localiza el archivo, no somos vulnerables.

En el caso de que localicemos el archivo debemos de comprobar si la
versión del mismo es alguna de las afectadas. Para ello pulsaremos
con el botón derecho del ratón sobre el archivo, aparecerá un menú
contextual donde elegiremos la opción Propiedades, y a continuación
pincharemos en la pestaña Versión. Si el número que aparece no es
ni 7.0.9064.9112 ni 7.0.9446.0, no somos vulnerables.

Información adicional sobre el exploit y las medidas de mitigación en
http://blog.hispasec.com/laboratorio/24


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (906267)
http://www.microsoft.com/technet/security/advisory/906267.mspx

sábado, 20 de agosto de 2005

Error en tratamiento de archivos locales de KDE 3.x

Se ha descubierto una vulnerabilidad en KDE (versiones desde la 3.0 a
la 3.4.2) que puede ser explotada por usuarios locales maliciosos para
realizar ciertas acciones con privilegios escalados.

La vulnerabilidad se debe al tratamiento incorrecto de archivos
temporales por parte de langen2kvtml. Esta circunstancia puede ser
explotada por un atacante local para realizar un ataque de tipo
symlink y así sobreescribir archivos arbitrarios con los derechos del
usuario que ejecutó el script vulnerable.

Se ha publicado un parche para KD3 3.4.2, disponible en la siguiente
dirección:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.2-kdeedu.diff


Julio Canto
jcanto@hispasec.com


Más información:

KDE Security Advisory: langen2kvtml tempfile vulnerability
http://www.kde.org/info/security/advisory-20050815-1.txt

viernes, 19 de agosto de 2005

Diversas vulnerabilidades en Cisco Clean Access 3.x

Cisco ha publicado actualizaciones para su producto Cisco Clean Access
(CCA), con objeto de solucionar varias vulnerabilidades, que permitirían
a un atacante obtener diversos privilegios en los sistemas afectados.

Cisco Clean Access (CCA) es una solución software que detecta, aísla
y limpia dispositivos infectados o vulnerables que intentan acceder
a la red.

Las versiones que se han confirmado como vulnerables son las
siguientes:
* De la 3.3.0 a la 3.3.9
* De la 3.4.0 a la 3.4.5
* De la 3.5.0 a la 3.5.3
En contrapartida, se ha confirmado que no son vulnerables las
siguientes direcciones:
* Las versiones de CCA anteriores a la 3.3.0
* La versión 3.5.4 o posteriores

CCA incluye, como parte de la arquitectura, un API (Application
Program Interface). La falta de autenticación a la hora de invocar
métodos de dicho API permitiría a un atacante saltase ciertas
comprobaciones de seguridad, cambiar el rol asignado a usuarios,
desconectar usuarios o acceder a información sobre los usuarios
configurados.

Se recomienda actualizar a versiones no afectadas por la
vulnerabilidad, o aplicar los parches que Cisco ha puesto a la
disposición de los usuarios (en la página de descargas de parches
para CCA).

El parche consiste en dos archivos:
* Patch-CSCsb48572.tar.gz: el parche en sí, que determinará antes de
aplicarse si el software CCA sobre el que se instale se ve afectado o
no por la vulnerabilidad.
* Readme-Patch-CSCsb48572.txt: instrucciones para aplicar el parche a
la máquina afectada.


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Cisco Clean Access Unauthenticated API Access
http://www.cisco.com/warp/public/707/cisco-sa-20050817-cca.shtml

jueves, 18 de agosto de 2005

La seguridad de la información norteamericana en entredicho

En un reciente estudio divulgado por la asociación norteamericana de
ingenieros IEEE-USA, en su publicación Today's Engineer, ha encendido
las luces de alarma en el sector de la seguridad y las tecnologías de
la información en Norteamérica.

Según este informe técnico, con título "United States Facing Cyber
Security Crisis", la infraestructura de seguridad y tecnologías de la
información en EEUU es altamente vulnerable ante ataques terroristas
y criminales. Las instalaciones afectadas y comprendidas en el estudio
van desde los sistemas de control de tráfico aéreo, redes de
electrificación y suministro energético, sistemas financieros, así
como redes de inteligencia y militares.

Cliff Lau, perteneciente al comité de política de I+D de IEEE-USA,
explica que, de seguir las cosas como están actualmente, las perspectivas
a cinco años vista son realmente inquietantes. Lau define la situación
como "al borde de la pérdida de control", una vez analizada la situación
actual y las perspectivas esperadas para ese período temporal.

Sin duda alguna, una noticia cuando menos preocupante. Sobre todo
después de que la asociación PITAC (President's Information Technology
Advisory Committee) remitiera al Presidente de la nación americana,
George W. Bush un extenso informe en el que se evidenciaba la crítica
situación que vive en la actualidad la seguridad de las infraestructuras
TI de alto nivel en Norteamérica. Y sobre todo, estando los Estados
Unidos sometidos a la amenaza continua de los ataques terroristas, a
raíz de los hechos por todos conocidos, referentes a los ataques del
11-S y sus posteriores implicaciones políticas.

La pregunta que nos podríamos hacer, llegados a este punto, es:
¿sucederá lo mismo en otros países industrializados? ¿es EEUU la
excepción que confirma la regla?


Sergio Hernando
shernando@hispasec.com


Más información:

United States Facing Cyber Security Crisis
http://www.todaysengineer.org/2005/Aug/cybersecurity.asp

Cyber Security: A Crisis of Prioritization: Informe de PITAC al
Presidente de EEUU
http://www.nitrd.gov/pitac/reports/20050301_cybersecurity/cybersecurity.pdf

miércoles, 17 de agosto de 2005

Utilizar MD5 para recurrir las multas de tráfico

Un australiano consigue anular una multa de tráfico ante la
imposibilidad de las autoridades de tráfico de demostrar
fehacientemente que la imagen registrada por un radar no ha
sido alterada.

Todo empezó cuando un australiano circulaba con su coche por
una carretera que estaba siendo controlada con un radar que
registra aquellos vehículos que circulan a una velocidad
superior a la permitida. Si se sobrepasa la velocidad,
automáticamente se emite una denuncia y se expide la
correspondiente multa.

Hasta aquí nada destacable. Lo curioso del caso empieza cuando
el abogado que representa al multado recurre la denuncia,
argumentando que no se ha probado que la imagen obtenida por
la cámara asociada al radar no ha sido modificada de ninguna
forma.

Las autoridades australianas del tráfico responden a esta
argumentación que se utiliza el algoritmo matemático MD5 para
obtener una suma de control de las imágenes obtenidas por el
radar. El problema radica en que no encuentran a ningún perito
que demuestre ante el tribunal la validez de dicho algoritmo.

El algoritmo MD5 permite obtener una suma de control de
longitud fija (habitualmente 128 ó 160 bits) a partir de una
entrada arbitrariamente larga, con la característica que el
valor obtenido es único y no reversible.

Este algoritmo se ha venido utilizando habitualmente para
obtener una suma de control de archivos informáticos, con el
objeto de garantizar que no han sido modificados. También se
utiliza en los procesos de cifrado de información y la firma
digital, conjuntamente con los sistemas de clave pública.

En el caso de la suma de control, se suponía que cualquier
archivo informático produciría una suma de control única. Es
decir, que cualquier modificación en un archivo tiene como
resultado una suma de control diferente y que no hay dos
archivos diferentes que generen el mismo valor para su suma de
control.

A finales del año pasado unos investigadores anunciaron
diversas vulnerabilidades en los algoritmos utilizados para la
obtención de sumas de control, afectando a MD5 y SHA,
consistentes en el descubrimiento de colisiones. Esto es, se
había demostrado que las sumas de control no eran únicas. Para
simplificar, dos archivos diferentes podían tener exactamente
la misma suma de control.

En el caso de los radares de tráfico australianos, se sacaba
una suma de control de las imágenes obtenidas. Esta suma de
control se obtenía aplicando el algoritmo MD5.

Y esto es justamente lo que ha permitido recurrir la multa de
tráfico. Las autoridades de tráfico de Australia no han
conseguido que ningún perito demostrara ante el tribunal que
la suma de control MD5 identificaba de forma inequívoca y
única a cada fotografía tomada, garantizando que no se ha
realizado ninguna modificación en la misma. Por tanto, en
teoría la fotografía podía haber sido retocada para cambiar la
matrícula del automóvil y se carecía de la certeza de
demostrar la realización de este cambio.

Ante la imposibilidad de garantizar la validez de la prueba
fotográfica, que era la única aportada por las autoridades
australianas, se retiró la denuncia presentada y, en
consecuencia, se anuló la multa.


Xavier Caballé
xavi@hispasec.com


Más información:

NSW speed cameras in doubt
http://theage.com.au/articles/2005/08/10/1123353368652.html?oneclick=true

All speed camera fines in doubt
http://www.news.com.au/story/0,10117,16204811-1242,00.html

Cryptanalysis of MD5 and SHA
http://www.schneier.com/crypto-gram-0409.html#3

Criptoanálisis de MD5 y SHA
http://www.kriptopolis.com/more.php?id=239_0_1_0_M12

Crypto-Gram (15 agosto 2005)
http://www.schneier.com/crypto-gram-0508.html

martes, 16 de agosto de 2005

Alerta: El gusano Zotob y otras variantes comienzan a causar estragos

Medios como la CNN, ABC y The New York Times se han visto este martes
azotados por un gusano que afectaba a sus sistemas Windows 2000. Tal
y como adelantábamos en Hispasec, el mayor peligro de Zotob y otros
especímenes que explotan una de las últimas vulnerabilidades de
Windows se presenta cuando logran penetrar en redes corporativas.

En los casos reportados en Estados Unidos parece que se trata de un
nuevo gusano que, al igual que Zotob, infecta a los sistemas Windows
2000 que no hayan instalado la actualización MS05-039. Como efecto
colateral los sistemas infectados se reinician constantemente, lo que
impide trabajar con ellos.

Como explicábamos en el primer aviso (http://www.hispasec.com/unaaldia/2486),
Zotob y el resto de especímenes que están apareciendo tienen limitada
su capacidad de propagación a través de Internet, ya que lo usual, y
al menos así lo recomiendan las medidas más básicas de seguridad, es
que el puerto TCP/445 que utiliza el gusano para propagarse no se
encuentre accesible de forma indiscriminada desde Internet.

Sin embargo suele ocurrir lo contrario en las intranets, donde la
seguridad suele ser más relajada porque se piensa que el firewall
perimetral protege de los ataques de Internet y que el resto de
sistemas que comparten la LAN o WAN son confiables. Además de
que en ocasiones las propias aplicaciones o servicios corporativos
requieren que servidores y/o estaciones tengan accesibles esos
puertos.

El problema se presenta cuando dentro de esa red aparece un sistema
infectado por un gusano de características similares a Blaster,
Sasser o Zotob, capaz de propagarse automáticamente sin necesidad
de la intervención del usuario. En cuestión de minutos se extiende
entre todos los sistemas vulnerables e impacta en la informática y
en todos los procesos que dependan de ella. Dependiendo del tipo
de empresa puede llegar a suponer un colapso global.

¿Cómo entra el gusano a la red interna si el firewall perimetral
protege de los ataques de Internet? Pues normalmente entra andando
por la puerta principal del edificio, es decir, basta con que
alguien conecte en la red local su portátil, previamente infectado
en casa o en otra red donde hubiera estado conectado.

Ese es el escenario más típico, aunque no el único, por ejemplo
los casos de teletrabajadores que conectan con el ordenador
particular a la red corporativa, etc.

Ya ocurrió con gusanos similares, como Blaster o Sasser, que fueron
protagonistas de infecciones masivas semanas después de su aparición.
Por ello es importante insistir ahora, a tiempo, para que los sistemas
sean actualizados contra la vulnerabilidad y prevenir incidentes
similares.

De poco o nada sirven los avisos y alertas cuando ya se está
sufriendo el daño. Ahora es el momento de prevenir, existe una amenaza
y la solución es sencilla, hay que actualizar los sistemas Windows.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Worm strikes down Windows 2000 systems
http://www.cnn.com/2005/TECH/internet/08/16/computer.worm/index.html

14/08/2005 - Gusano "Zotob" aprovecha vulnerabilidad en Plug-and-Play de Windows
http://www.hispasec.com/unaaldia/2486

lunes, 15 de agosto de 2005

Acceso remoto a archivos con Veritas Backup Exec

Se ha anunciado la existencia de una vulnerabilidad en Veritas Backup
Exec, por la que un atacante remoto podrá llegar a descargar archivos
arbitrarios de los sistemas afectados.

El problema reside en que el software hace uno de una contraseña de
autenticación por defecto codificada internamente. Un usuario remoto
puede enviar una petición CONNECT_CLIENT_AUTH con una determinada
password cifrada, con lo que logrará una autenticación exitosa en la
aplicación y con ello acceso a todos los archivos del sistema remoto.

Se han confirmado como vulnerables las siguientes versiones:
VERITAS Backup Exec for Windows Servers 9.0, 9.1 y 10.0
VERITAS Backup Exec Remote Agent for Windows Server
VERITAS Backup Exec Remote Agent for Unix/Linux Server
VERITAS Backup Exec for NetWare Servers 9.1
VERITAS Backup Exec Remote Agent for NetWare Server
VERITAS NetBackup for NetWare Media Server Option 4.5, 4.5 FP, 5.0 y 5.1

El problema se agrava con la publicación de un exploit de demostración y
la existencia múltiples comunicaciones que confirman que la vulnerabilidad
se está explotando de forma activa.


Antonio Ropero
antonior@hispasec.com


Más información:

Veritas Backup Exec Remote Agent Discloses Arbitrary Files to Remote Users
http://securitytracker.com/alerts/2005/Aug/1014662.html

Veritas Backup Exec Remote Agent for Windows Servers Arbitrary File Download Vulnerability
http://securityresponse.symantec.com/avcenter/security/Content/14551.html

Veritas Backup Exec Windows Remote File Access
http://www.milw0rm.com/id.php?id=1147

domingo, 14 de agosto de 2005

Gusano "Zotob" aprovecha vulnerabilidad en Plug-and-Play de Windows

El gusano es capaz de infectar automáticamente los sistemas
Windows 2000 que no hayan instalado la actualización MS05-0039,
disponible desde el pasado martes. Desde Hispasec aconsejamos a todos
los usuarios mantengan sus sistemas puntualmente actualizados, y de
forma especialmente urgente este mes en el caso de Windows.

Tal y como adelantamos a las 18:30 del domingo a los suscriptores
del servicio de alertas de virus de Hispasec por SMS
( http://www.hispasec.com/unaaldia/2400 ), el gusano se encuentra
activo, y aprovecha la vulnerabilidad en Plug-and-Play de Windows
que puede ser explotada de forma remota por un usuario anónimo en
sistemas Windows 2000.

La aparición de un gusano de estas características era previsible,
ya que hace unos días fueron publicados los detalles para explotar
esta vulnerabilidad junto a otras pruebas de concepto sobre ataques
relativos a los parches de Windows del mes de agosto. Más detalles
sobre las pruebas de concepto publicadas y la respuesta AV en
http://blog.hispasec.com/laboratorio/22

Las casas antivirus de momento no dan protagonismo a "Zotob" en sus
alertas y rankings, no en vano la propagación es muy discreta. El
hecho de que infecte a través del puerto TCP/445 dificulta su
propagación por Internet, ya que lo usual es que el puerto esté
filtrado por los firewalls perimetrales.

Sin embargo, desde Hispasec queremos advertir sobre la posibilidad
de que este gusano o uno similar llegue a redes corporativas, donde
sin duda podría causar más estragos. No hace falta recordar los
casos de infecciones en redes corporativas al conectar portátiles,
o por estaciones de trabajo remotas, infectados por Blaster o Sasser.

Es por ello vital que los sistemas se mantengan puntualmente
actualizados con los últimos parches disponibles. En esta ocasión
es crítico en el caso de Windows, ya que se han publicado los
códigos que permiten aprovechar varias de las últimas
vulnerabilidades corregidas durante el mes de agosto.

"Zotob" es sólo una muestra de lo que puede hacerse al automatizar
este tipo de ataques. No es la única, en las últimas horas están
apareciendo nuevos especímenes que aprovechan la misma
vulnerabilidad, como el caso de variantes de Sdbot o del propio
Zotob, y tampoco debemos olvidar la posibilidad de ser víctimas
de un ataque específico contra nuestro sistema.

Los usuarios domésticos pueden comprobar e instalar las últimas
actualizaciones disponibles desde la dirección
http://windowsupdate.microsoft.com

En el caso de los usuarios corporativos entendemos que el despliegue
se hará de forma centralizada, por lo que instamos a los
administradores a que aceleren el proceso.

Descripción de "Zotob"

Como hemos comentado, el gusano busca sistemas vulnerables que no hayan
instalado el parche MS05-039. Para ello lanza 16 hilos para barrer
aleatoriamente la clase B de la IP del sistema infectado en busca de
sistemas con el puerto TCP/445 abierto.

Cuando encuentra un sistema vulnerable, aprovecha la vulnerabilidad
en Plug-and-Play para abrir un shell en el puerto TCP/8888 del equipo
de la víctima, a través del cual llama a FTP.EXE para realizar la
descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado
en el puerto TCP/33333 del sistema previamente infectado desde el que
partía el ataque.

Una vez se ejecuta el gusano en el nuevo sistema, crea el archivo
botzor.exe en la carpeta de sistema de Windows y las entradas en
el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WINDOWS SYSTEM" = "botzor.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = "botzor.exe"

También modifica el archivo hosts del sistema para que los dominios
web de los antivirus apunten a la dirección 127.0.0.1 (localhost),
como estrategia para impedir que los sistemas infectados puedan
actualizar el antivirus o utilizar herramientas para su localización
y desinfección.

Por último "Zotob" intenta conectarse a un servidor IRC desde donde
el gusano puede recibir órdenes de sus creadores, como descargar e
instalar nuevas versiones del gusano.


Bernardo Quintero
bernardo@hispasec.com



sábado, 13 de agosto de 2005

Desbordamiento de búfer en kernel 2.6.12 de Linux

Se ha descubierto una vulnerabilidad en la versión 2.6.12 del kernel
de Linux que puede ser explotada por usuarios maliciosos para provocar
denegaciones de servicio y, potencialmente, para comprometer un
sistema afectado.

El problema se debe a un error en el tratamiento de límites de
variables dentro de la función 'xdr_xcode_array2()' a la hora de
decodificar arrays XDR (eXternal Data Representation). Esta
circunstancia puede ser explotado para provocar desbordamientos
de búfer enviando datos XDR maliciosos para el protocolo nfsacl.

La vulnerabilidad ha sido solventada en las versiones 2.6.13-rc1 y
posteriores del kernel, disponibles en la siguiente dirección:
http://www.kernel.org/


Julio Canto
jcanto@hispasec.com


Más información:

Linux Kernel NFSACL Protocol XDR Data Remote Denial of Service Vulnerability
http://www.securityfocus.com/bid/14470

viernes, 12 de agosto de 2005

Denegación de servicio en KDE 3.3 y 3.4

Se ha descubierto una vulnerabilidad en KDE (versiones de la 3.3.1 a
la 3.4.1) que puede ser explotada por usuarios maliciosos para
provocar denegaciones de servicio en el sistema de la víctima.

La vulnerabilidad se debe a un error en kpdf a la hora de crear
archivos temporales, lo que puede ser explotado por usuarios
maliciosos para crear archivos temporales de gran tamaño cuando la
víctima abre documentos PDF especialmente construidos a tal efecto. La
utilización con éxito de esta técnica puede provocar el consumo total
del espacio disponible de disco.

Se recomienda aplicar los siguientes parches:
KDE 3.3.1:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.3.1-kdegraphics-4.diff
KDE 3.4.1:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.1-kdegraphics-4.diff


Julio Canto
jcanto@hispasec.com


Más información:

KDE Security Advisory: kpdf temp file writing DoS vulnerability
http://www.kde.org/info/security/advisory-20050809-1.txt

jueves, 11 de agosto de 2005

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines publicado por Microsoft el pasado
martes, la compañía anunció una actualización acumulativa para su
navegador Internet Explorer que solventa diversas vulnerabilidades;
entre las que se encuentran algunas que pueden ser explotadas por
usuarios maliciosos para comprometer la seguridad del sistema.

Las tres nuevas vulnerabilidades que corregidas son las siguientes:
* Una de las vulnerabilidades permitiría a un atacante ejecutar código
arbitrario debido a un problema a la hora de procesar imágenes JPEG.
Dos posibles vectores de ataque serían una web maliciosa o un email
especialmente construido a tal efecto.
* También se ha solucionado una vulnerabilidad de dominios cruzados en
el navegador que permitiría acceder a información sensible o incluso
ejecutar código arbitrario en un sistema afectado. Esta vulnerabilidad
requiere una cantidad significativa de interacción por parte de la
víctima, por lo que normalmente ha de basarse también en técnicas de
ingeniería social.
* Existe la posibilidad de ejecutar código arbitrario con Internet
Explorer debido a la forma en la que dicho componente instala objetos
COM que no están diseñados para ser usados con él. Un atacante puede
utilizar esta circunstancia para construir una Web maliciosa que, una
vez visitada por la víctima, provocaría la ejecución remota de código
arbitrario.

Se recomienda utilizar Windows Update para actualizar los sistemas
afectados, aunque se pueden utilizar las siguientes URLs para
descargar los parches de actualización correspondientes:
* Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000
Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=194E0EE7-919C-4A8B-AD8D-01A4FE771942
* Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service
Pack 4 o Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=68300B15-1CF9-45FB-875E-2EF6D2FBC9ED
* Internet Explorer 6 para Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=648B6F0E-1695-44E5-826A-43406DF4858E
* Internet Explorer 6 para Microsoft Windows Server 2003 y 2003
Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0B96EC3-E954-423A-9AB0-5712B9F14637
* Internet Explorer 6 para Microsoft Windows Server 2003 y 2003 SP1
para sistemas basados en Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=C24D3738-213A-41B8-84A3-2842B34D7B10
* Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F2D544E7-33F5-4A65-A574-15495B05B883
* Internet Explorer 6 for Microsoft Windows XP Professional x64
Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1181BC67-0A1D-4A06-99AC-5B2BC6DFE0F6


Julio Canto
jcanto@hispasec.com


Más información:

Cumulative Security Update for Internet Explorer (896727): MS05-038
http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx

Boletín de Seguridad de Microsoft MS05-038
Actualización de seguridad acumulativa para Internet Explorer (896727)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-038-IT.mspx

miércoles, 10 de agosto de 2005

Creación local insegura de archivos temporales en Wine

Un error de diseño detectado recientemente en la aplicación Wine,
provoca que el proceso de verificación de existencia de un archivo de
modo previo a su escritura falle, lo que permitirá la creación insegura
de ficheros.

Wine es una implementación en código abierto del API de Microsoft para
ser ejecutada en sistemas UNIX dotados del sistema de ventanas X, lo
que proporciona una capa de compatibilidad que permite ejecutar
programas de Windows sobre los sistemas donde corre Wine.

La vulnerabilidad está causada por la creación insegura de ficheros
temporales por parte del lanzador winelauncher.in, en el directorio
/tmp. Bajo ciertas condiciones de error, aún no especificadas,
esta vulnerabilidad podría facultar a un hipotético atacante la
sobreescritura de archivos arbitrarios, lo que alteraría su estructura,
con el consiguiente riesgo.

El problema, pendiente de que se realice una investigación más
exhaustiva, se ha documentado y verificado en la versión 20050725.
El carácter local y las implicaciones del software en el sistema de
ficheros, hacen de este problema un problema de criticidad reducida.

La recomendación que podemos hacer a los usuarios de las versiones
afectas, hasta que aparezca una versión de corrección, es que faculten
únicamente a usuarios de plena confianza el acceso a los equipos con
versiones comprometidas.


Sergio Hernando
shernando@hispasec.com


Más información:

Wine
http://www.winehq.org

Wine WineLauncher.IN Local Insecure File Creation Vulnerability
http://www.securityfocus.com/bid/14496/info

martes, 9 de agosto de 2005

Seis nuevos boletines de seguridad de Microsoft en agosto

Como cada segundo martes de mes, Microsoft ha publicado sus ya
habituales boletines de seguridad. Y una vez más se demuestra que para
la seguridad no existen vacaciones de verano, en este mes de agosto se
han anunciado seis nuevos boletines (MS05-038 al MS05-043). Según la
propia clasificación de Microsoft tres de los nuevos boletines
presentan un nivel de gravedad "crítico", uno "importante" y dos de
ellos reciben la calificación de "moderado".

* MS05-038: Actualización acumulativa para Microsoft Internet Explorer
que además soluciona tres nuevas vulnerabilidades que podrían permitir
la ejecución remota de código arbitrario.
Según la calificación de Microsoft está calificado como "crítico".
Afecta a Internet Explorer 5.01, Internet Explorer 5.5 e Internet
Explorer 6.

* MS05-039: Actualización por vulnerabilidad de ejecución remota de
código arbitrario en PnP para Microsoft Windows. Está calificado como
"crítico".
Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS05-040: Vulnerabilidad en servicio de telefonía de Microsoft
Windows que puede ser explotado por usuarios maliciosos para
comprometer la seguridad del sistema.
Según la calificación de Microsoft recibe el nivel de "importante".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows Server 2003,
Windows 98 y Windows Me Gold.

* MS05-041: Denegación de servicio en protocolo de escritorio remoto de
Microsoft Windows.
Está calificado como "moderado".
Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS05-042: Actualización para vulnerabilidades en Kerberos debido a
que se han descubierto dos problemas en el servicio responsable de
autenticar usuarios en un dominio de directorio activo que permitirían
provocar denegaciones de servicio, acceder a información sensible o a
realizar ataques de falsificación.
Microsoft califica esta vulnerabilidad como "moderada".
Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS05-043: Ejecución remota de código por vulnerabilidad en servicio
Print Spooler o cola de impresión.
Está calificado como "crítico".
Afecta a Windows 2000, Windows XP y Windows Server 2003.


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in Print Spooler Service Could Allow Remote Code
Execution (896423): MS05-043
http://www.microsoft.com/technet/security/Bulletin/MS05-043.mspx

Vulnerabilities in Kerberos Could Allow Denial of Service, Information
Disclosure, and Spoofing (899587): MS05-042
http://www.microsoft.com/technet/security/Bulletin/MS05-042.mspx

Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
(899591): MS05-041
http://www.microsoft.com/technet/security/Bulletin/MS05-041.mspx

Vulnerability in Telephony Service Could Allow Remote Code Execution
(893756): MS05-040
http://www.microsoft.com/technet/security/Bulletin/MS05-040.mspx

Vulnerability in Plug and Play Could Allow Remote Code Execution and
Elevation of Privilege (899588): MS05-039
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Cumulative Security Update for Internet Explorer (896727): MS05-038
http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx

lunes, 8 de agosto de 2005

Denegación de servicio en Business Objects Enterprise y Crystal Reports

Se ha anunciado una vulnerabilidad en Business Objects Enterprise y
Crystal Reports Server, que puede ser explotada por un usuario
malicioso para provocar denegaciones de servicio.

El problema, del que no se han facilitado los detalles, reside en Report
Application Server (Crystalras.exe) y puede ser explotado para bloquear
el servicio a través de una petición especialmente creada.

BusinessObjects ha publicado las actualizaciones necesarias para evitar
este problema:
Business Objects Enterprise XI:
http://ftp1.businessobjects.com/outgoing/EHF/commonXIwin_en.zip
Crystal Reports Server XI:
http://ftp1.businessobjects.com/outgoing/EHF/commonXIwin_en.zip


Antonio Ropero
antonior@hispasec.com


Más información:

Business Objects Security Bulletin
Vulnerability in Crystal Report Application Server could allow Denial of Service
http://support.businessobjects.com/fix/hot/critical/bulletins/security_bulletin_june05.asp

domingo, 7 de agosto de 2005

Diversas vulnerabilidades en Microsoft ActiveSync

Se han descubierto diversas vulnerabilidades en Microsoft ActiveSync
3.7.1 y 3.8 que pueden ser explotadas por usuarios maliciosos para
provocar denegaciones de servicio, enumerar identificadores de equipo
válidos o realizar conexiones maliciosas.

ActiveSync es, por defecto, el programa de conectividad que mantiene
sincronizados un PC y dispositivos Pocket PC. También incluye otras
características, como depuración, transferencia de archivos, etc.

Los ataques de denegación de servicio son posible debido a un error en
el tratamiento de comunicaciones de dicho componente: ActiveSync
puede dejarse en un estado en el que es incapaz de responder si se le
envían múltiples peticiones de inicialización al puerto 5679/TCP.

La enumeración de identificadores de equipo válidos puede realizarse
examinando la respuesta dada por el componente afectado al enviar
información especialmente construida a tal efecto al puerto 5679/TCP.
Esta vulnerabilidad puede usarse como base para engañar al usuario
para que revele al atacante claves de dispositivos móviles.

Estas vulnerabilidades se han descubierto en la versión 3.7.1, aunque
no se descarta que otras puedan verse también afectadas.

Por último, ActiveSync 3.8 no fuerza la autenticación por contraseña
cuando se realiza la sincronización sobre una red. Esto puede explotarse
para provocar que una PDA se sincronice con un servidor ActiveSync
malicioso o que una PDA maliciosa acceda a un servidor ActiveSync con identificadores capturados de la red.

A la espera de un parche de actualización de Microsoft, se recomienda
restringir el tráfico que pueda acceder al puerto 5679/TCP.


Antonio Ropero
antonior@hispasec.com


Más información:

Airscanner Mobile Security Advisory: Remote Password Compromise of Microsoft Active Sync 3.7.1 & 3.8
http://www.airscanner.com/security/activesync371.htm

Microsoft ActiveSync clear text password
http://www.security.nnov.ru/Jdocument358.html

ActiveSync
http://www.microsoft.com/windowsmobile/downloads/activesync38.mspx

sábado, 6 de agosto de 2005

Actualización del kernel de SuSE Linux 9

SuSE ha publicado una actualización para el kernel de sus Linux 9
debido a que se han detectado vulnerabilidades que pueden ser
explotadas por usuarios locales maliciosos para provocar denegaciones
de servicio o, potencialmente, realizar escaladas de privilegios.

* Un error en el tratamiento del acceso a ar.rsc vía ptrace y
restore_sigcontent puede ser explotado para provocar denegaciones de
servicio.
* Otro error en el envío de señales puede provocar un mensaje de
pánico del kernel cuando un sub-thread 'exec' cuando tiene un contador
de tiempo pendiente.
* Un error en 'ptrace()' a la hora de procesar direcciones
especialmente creadas puede provocar la caída del kernel (en
plataformas AMD64).
* Una condición de carrera en el código de compatibilidad de
'execvt()' en las plataformas IA64 y AMD64 puede ser explotada para
provocar denegaciones de servicio y potencialmente para realizar
escaladas de privilegios.

La compañía recomienda utilizar YOU (YaST Online Update) para
actualizar los sistemas afectados.


Julio Canto
jcanto@hispasec.com


Más información:

SUSE Security Announcement: several kernel security problems
http://www.novell.com/linux/security/advisories/2005_44_kernel.html

viernes, 5 de agosto de 2005

Manipulación local de permisos de archivos con unzip 5.52

Se ha descubierto una vulnerabilidad en unzip 5.52 que puede ser
explotada por usuarios locales maliciosos para realizar ciertas
acciones con privilegios escalados en sistemas afectados.

La vulnerabilidad se debe a una condición de carrera que se da cuando
un archivo a descomprimir es cerrado antes de que se cambien sus
permisos. Esta circunstancia puede ser explotada mediante ataques
symlink para cambiar los permisos de otros ficheros que pertenezcan
al usuario que ha ejecutado unzip.

La explotación con éxito de la vulnerabilidad requiere que el usuario
malicioso pueda borrar el archivo sin comprimir y lo reemplace con un
hardlink a otro archivo perteneciente al usuario que ejecutó unzip,
todo esto antes de que los permisos sean dados al archivo.

Si bien la vulnerabilidad ha sido confirmada en la versión 5.52, es
probable que las versiones anteriores se vean también afectadas por el
problema.

A pesar de la complicación para la explotación de la vulnerabilidad,
se recomienda usar esta herramienta en directorios con el bit sticky
activado, o donde otros usuarios no tengan permisos de escritura.


Julio Canto
jcanto@hispasec.com


Más información:

Info-ZIP UnZip CHMod File Permission Modification Race Condition Weakness
http://www.securityfocus.com/bid/14450

jueves, 4 de agosto de 2005

Explicación de Cisco al caso "Black Hat - Lynn"

Alberto Arebalos, Corporate Communications Manager de Cisco para
América Latina y Caribe, nos explica la postura y/o punto de vista de
Cisco sobre el caso que tratábamos ayer en Hispasec, de la repercusión
de las acciones emprendidas contra la difusión del estudio de Lynn en
la Black Hat.

De cara a no condicionar la lectura de la explicación, desde Hispasec
nos reservamos nuestra opinión sobre el particular, basada en los
datos publicados por las diferentes partes implicadas, incluido el
acceso a la presentación original de Lynn retirada de la Black Hat.

A continuación reproducimos íntegramente el comentario que nos ha
hecho llegar Alberto Arebalos para nuestros lectores de una-al-día:



Respecto al artículo, "Cisco en el punto de mira de los hackers",
acerca del incidente de Black Hat, un punto que me parece interesante
aclarar es que Cisco no censuró la presentación, el problema fue que
(y así lo entendió también la Corte de Distrito Federal) que Lynn no
respetó los protocolos aceptados en la industria para divulgar
problemas de este tipo.

La decisión de ISS y Cisco de ir a la justicia se tomó como acción de
último resorte para detener la difusión de información propietaria
(Lynn hizo ingeniería inversa del IOS).

Las acciones de Cisco con Lynn y Black Hat no se basaron en el
descubrimiento de una vulnerabilidad, sino que ellos optaron por hacer
su divulgación fuera de los canales establecidos por la industria.

Existen protocolos y procedimientos para la difusión de
vulnerabilidades en el software, justamente con el objetivo de evitar
ataques criminales contra los sistemas. Cisco entendió que lo que
hicieron Lynn y Black Hat no fue en beneficio de los usuarios de
Internet.

La Corte también aceptó el hecho que Cisco y ISS prepararon una
presentación alternativa que discutía temas de seguridad en Internet,
incluso la vulnerabilidad que Lynn había identificado, pero sin revelar
código del IOS que podría ayudar a un hacker a explotar la
vulnerabilidad.

La vulnerabilidad había sido detectada a tiempo y el parche estaba
disponible, y la acción de Lynn y Black Hat no puede verse como la
de guardianes de los intereses de los usuarios sino todo lo contrario.

Cisco tiene un sistema desde hace años que se encarga de detectar y
avisar a sus clientes de problemas de este tipo con el objetivo de
minimizar los riesgos en sus sistemas. Poner en riesgo la seguridad
de los mismos por 15 minutos de fama es demasiado oneroso.


Alberto Arebalos
Corporate Communications Manager
Cisco Systems, America Latina y Caribe







Más información:

03/08/2005 - Cisco en el punto de mira de los hackers
http://www.hispasec.com/unaaldia/2475

miércoles, 3 de agosto de 2005

Cisco en el punto de mira de los hackers

En la reciente edición de Black Hat estaba programada una presentación
sobre como comprometer los routers Cisco, a priori muy interesante. En
un intento de censurar dicha información, Cisco recurrió a tácticas
legales. Como suele ocurrir en este tipo de casos, el efecto fue el
contrario al buscado: hubo presentación, la documentación cuelga de
numerosos sitios de Internet, y el caso ha despertado un gran interés
tanto en investigadores de seguridad y hackers como en los medios de
comunicación.

El ponente, Michael Lynn, dimitió del puesto que ocupaba en su
empresa, Internet Security Systems, que a su vez había llegado a un
acuerdo con Cisco para evitar la divulgación del estudio de Lynn. Las
amenazas legales cayeron en saco roto, y lo único que han conseguido
de momento es atraer toda la atención.

Aunque los abogados de ISS y Cisco siguen enviado advertencias legales
a los sitios de Internet que cuelgan la presentación, ya es demasiado
tarde, continuamente aparecen nuevos sitios web que lo hospedan y el
PDF circula por las redes P2P.

A efectos prácticos, Cisco publicó un aviso de seguridad dos días
después de la presentación de Lynn, donde ofrece un parche para su
sistema operativo IOS, de cara a prevenir una denegación de servicios
y "potencial" ejecución de código arbitrario en sus routers
configurados para soportar tráfico IPv6.
http://www.cisco.com/warp/public/707/cisco-sa-20050729-ipv6.shtml

El problema ya no es tanto éste caso concreto, que es muy grave,
sino que Lynn ha demostrado que es posible ejecutar código
arbitrario en los routers Cisco, que hasta el momento se vendían
como prácticamente inmunes contra este tipo de compromisos.

Teniendo en cuenta que buena parte de la infraestructura de Internet
descansa en dispositivos Cisco, las consecuencias de un hipotético
gusano que aprovechara una vulnerabilidad crítica en Cisco IOS
podrían ser espectaculares.

Lynn pretende con este aviso advertir de las debilidades de Cisco
y evitar males mayores. Si bien, aunque no ha dado los detalles y
por tanto no se prevé que a corto plazo se explote este tipo de
vulnerabilidades, su presentación puede servir de guía inicial para
que otros hackers encuentren vulnerabilidades en el sistema
operativo de Cisco.

Además, el intento de Cisco de ocultar la información no ha hecho
más que aumentar la motivación de los hackers. Ya en la DEF CON
se han podido ver grupos de trabajo discutiendo sobre como
reproducir el estudio de Lynn.

Recomendamos la lectura (en inglés) de una interesante entrevista
a Michael Lynn pulicada por Wired, donde se descubren algunos
detalles de este auténtico culebrón.
http://www.wired.com/news/print/0,1294,68365,00.html


Bernardo Quintero
bernardo@hispasec.com



martes, 2 de agosto de 2005

Último número de Phrack Magazine

Publicado el número 63 de la revista Phrack, con el que esta
conocida publicación online y gratuita se despide. Es el fin
de la primera publicación que se distribuyó exclusivamente de
forma electrónica.

Con casi veinte años de historia, la revista Phrack es todo un
referente y, sin la menor duda, una de las publicaciones más
prestigiosas en el mundo de la seguridad informática. En su
larga trayectoria, en Phrack se han publicado las primeras
referencias a numerosas técnicas como, por ejemplo, el
artículo de Aleph One "Smashing the stack for Fun and Profit"
donde se desarrollaba las técnicas de ejecución de código en
la pila inyectado a través de desbordamiento de búfer.

Otro artículo histórico describía el funcionamiento del número
de emergencias (911) de los Estados Unidos. La publicación de
este artículo originó una serie de demandas judiciales y el
encarcelamiento de los editores, acusados de publicar material
confidencial robado de la compañía telefónica Bell South y que
ponía en peligro la seguridad de los ciudadanos
norteamericanos. Durante el juicio, por el que se pedían una
indemnización de 80.000 dólares se demostró que esa
información estaba al alcance de cualquier persona por sólo
13 dólares.

Inicialmente la revista Phrack se centraba en la seguridad de
las redes de comunicaciones, documentando un gran número de
vulnerabilidades y falsas medidas de seguridad implementadas
por las compañías telefónicas. Con el tiempo, su contenido ha
ido moviéndose hacia el mundo de los ordenadores y la
seguridad informática.

Algunos nombres míticos en la historia de la seguridad
informática guardan una relación muy directa con la revista
Phrack. Desde los editores originales, Taran King y Knight
Lightning, hasta grupos como Legion of Doom.

Este último número continúa fiel a la tradición de publicar
contenido de alta calidad. Así encontramos artículos sobre la
seguridad del sistema operativo Windows CE utilizado en
algunas de las agendas electrónicas, técnicas forenses,
seguridad de Windows y Mac OS, sortear las medidas de
seguridad periférica, etc...

La conmemoración de este último número se ha realizado a
través de la publicación de una edición especial en papel (por
tercera vez en la historia), que se ha repartido durante la
reciente celebración del "What the Hack" y Defcon 13.


Xavier Caballé
xavi@hispasec.com



lunes, 1 de agosto de 2005

El coste de los problemas de seguridad

Conocer el coste real de la no observancia de la seguridad es complejo.
Es complejo por dos motivos fundamentales: el primero es que cuantificar
aspectos que son mezcla de aspectos tangibles e intangibles no es
sencillo, al intervenir los inevitables métodos estadísticos y
la incertidumbre; y en segundo lugar, no es frecuente que las
organizaciones reconozcan la totalidad de sus fallos de seguridad, ni
siquiera a nivel interno, ya que muchas veces éstas están penalizadas
o pueden suponer una fuente de conflicto para los responsables de
seguridad que por cualquier motivo, no hayan actuado correctamente.

Conocer estos costes sería extremadamente útil para afrontar
planificaciones, sobre todo presupuestarias. La seguridad siempre tiene
un componente económico, y acertar en su cuantía de una manera previa
sería muy interesante para los departamentos financiero y de seguridad
de la información. Por desgracia, los datos que pueden conocerse de
estos costes no son del todo fiables, ya que suelen ser medias,
corresponden a otras empresas e incluso a otros sectores de actividad.
Con lo que, aún así, por los motivos expuestos solamente podemos
fiarnos de los datos propios de la organización.

Pese a esto, es frecuente que las publicaciones online presenten datos
sobre los costes de la seguridad. A veces es frecuente hablar de los
costes en los que hace incurrir el crimen organizado en las empresas, e
incluso los costes que derivan de la aparición de vulnerabilidades en
los productos de un determinado proveedor y ese es el enfoque le vamos
a dar a este artículo de opinión.

Técnicas como el phishing, el pharming, el spam, la ingeniería social,
las filtraciones de datos sensibles por troyanos, keyloggers ... la
lista de amenazas es interminable, y precisamente por el amplio abanico
de oportunidades que se presentan, cada vez es más frecuente que grupos
de crimen organizado exploten estas oscuras técnicas para obtener
rendimiento económico de las actividades ilegales. La pregunta es obvia:
¿Cuánto le cuesta esto a las empresas, en términos económicos? ¿Qué
perjuicio, traducido en términos financieros, causa el descubrimiento
de vulnerabilidades en los proveedores de software por pequeña que ésta
sea?

Recientemente, los investigadores Sunil Wattal y Rahul Telang, de la
prestigiosa Universidad Carnegie Mellon, en Pittsburgh, Pennsylvania
(Estados Unidos de América), analizaron el impacto económico que
suponían las vulnerabilidades en 18 proveedores de software, entre
los que estaban ilustres conocidos como Microsoft, IBM o Red Hat.
Estos investigadores llegaron a la conclusión de que el simple hecho
de anunciar una vulnerabilidad en alguno de los productos de estas
compañías suponía en torno a un 0,6% de caída en la cotización de sus
acciones. Estas cifras se presentaron en el Workshop on the Economics
of Information Security, de la Universidad americana de Cambridge,
Massachusetts.

Otro problema al que se enfrentan las empresas proveedoras es la
publicación indiscriminada de las vulnerabilidades. Por ejemplo, el
Computer Emergency Response Team (CERT) de la Universidad Carnegie
Mellon ofrece a los vendedores un plazo de 45 días antes de hacer
pública una vulnerabilidad descubierta por sus integrantes. En ese plazo,
instan al proveedor a que elabore un parche o una versión que corrija el
problema detectado. ¿Pero qué ocurre si algún organismo independiente o
usuario descubre el problema con sus propios medios? En ese caso es
frecuente que libere la información, y probablemente se haga pública
antes de que el proveedor haya preparado un parche. Consiguientemente,
las posibilidades de que los atacantes exploten las vulnerabilidades aún
no corregidas, disparan los costes derivados del período de inseguridad
que discurre entre la divulgación de la vulnerabilidad y la aparición
del consecuente parche de corrección.

Se estima que existen en torno al 8% de posibilidades de que usuarios
independientes descubran una vulnerabilidad mucho antes de que el
proveedor haya preparado una solución al problema. En ese caso, el
impacto de los mercados es más notorio, por los motivos expuestos.

Otros experimentos nos pueden dar más ideas del coste de la inseguridad:
el profesor Avi Goldfarb, de la Universidad de Toronto, monitorizó a
2.700 voluntarios que empleaban conexiones de la Red de Telefonía Básica
(RTB) a comienzos del año 2000. De un modo paralelo, un atacante, cuyo
nickname era "Mafiaboy" organizó un gran ataque de denegación de
servicio contra Yahoo! durante un período de más de tres horas. Esto
hizo que ineludiblemente, muchos de los 2.700 voluntarios que empleaban
los servicios de Yahoo! hicieran uso de los servicios de la competencia,
como por ejemplo Excite, Altavista o MSN. A raíz de los datos obtenidos,
se estima que se perdieron en torno a 6 millones de visitas únicas en el
período del ataque, y que Yahoo! dejó de ingresar por sus servicios en
torno a 250.000 dólares americanos. Eso sin contar el hecho de que la indisponibilidad de un servicio como el que ofrece un gran proveedor
siempre causa bajas entre la fidelidad del público que lo frecuenta,
lo cual también implica un coste importante, así como una pérdida de
la cuota de mercado.

Pese a que no es posible saber los costes que suponen los problemas de
seguridad para cada una de las casuísticas, lo que sí parece evidente es
que el coste de la no observancia de la seguridad, entendida ésta como
la gestión ineficiente de la misma, es un coste elevado, y que
lamentablemente, se incrementa día a día.


Sergio Hernando
shernando@hispasec.com


Más información:

The true cost of Computer Crime
http://www.crime-research.org/analytics/1381

Revealed: The true cost of Computer Crime
http://www.newscientist.com/article.ns?id=dn7580