jueves, 31 de enero de 2008

Ejecución remota de código en Cisco Wireless Control System

Se ha encontrado una vulnerabilidad en mod_jk.so, el manejador de URI de Apache Tomcat, en Cisco Wireless Control System (WCS) que podría ser explotada por un atacante remoto para ejecutar código arbitrario.

La vulnerabilidad está causada porque mod_jk.so no maneja de forma adecuada las URL demasiado largas. Esto podría causar que una copia insegura de memoria disparase un desbordamiento de búfer basado en pila que podría ser explotable para ejecutar código.

La vulnerabilidad afecta a los dispositivos Cisco WCS que ejecuten software 3.x y 4.0.x anterior a 4.0.100.0. Y a los que ejecuten software 4.1.x y 4.2.x anterior a la versión 4.2.62.0.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080130-wcs.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Wireless Control System Tomcat mod_jk.so Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20080130-wcs.shtml

miércoles, 30 de enero de 2008

Actualización de múltiples paquetes para productos SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que resuelven diferentes problemas de seguridad. Las actualizaciones afectan a OpenSUSE Linux 10.x, SuSE Linux 10.x, SuSE Linux Enterprise (SDK) 10 y SuSE Linux Enterprise Server (SLES) 10.

Los paquetes y problemas corregidos son:

* Desbordamiento de búfer durante el proceso de autenticación en top-pegasus.

* Múltiples desbordamientos de búfer en Xine rtsp.

* Denegación de servicio en libxml2 durante el manejo de UTF8.

* Manejo incorrecto de certificados SSL en libqt4.

* Nuevas actualizaciones de XFree86/X.Org.

* Corregidos varios problemas menores en krb5.

* Desbordamientos de búfer y denegación de servicio en libexif.

* Denegación de servicio en openafs.

* Denegación de servicio durante la post-autenticación en Apache Derby.

* Actualización a MozillaThunderbird 1.5.0.14.

* Denegación de servicio en Xen.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:002
http://lists.opensuse.org/opensuse-security-announce/2008-01/msg00005.html

martes, 29 de enero de 2008

Denegación de servicio a través del sistema de archivos minix en el kernel 2.6.x de Linux

Se ha encontrado una vulnerabilidad en el kernel de linux que podría permitir a un atacante local causar una denegación de servicio.

El fallo se debe a un error en el manejo de estructuras de datos corruptas en el sistema de archivos minix. Ésto podría ser explotado para hacer que el sistema deje de responder (denegación de servicio) si se monta una imagen especialmente manipulada.

La vulnerabilidad reside en todas las versiones anteriores a la 2.6.24.

En la nueva versión se han subsanado también otros problemas, pudiendo estar alguno de ellos relacionados con la seguridad.

El problema está corregido en la versión 2.6.24.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux 2.6.24
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24

lunes, 28 de enero de 2008

Troyanos bancarios rusos, marcando la diferencia

En alguna ocasión hemos comentado que en Hispasec diferenciamos dos grandes escuelas de creadores de troyanos bancarios, por un lado la escuela rusa y de países del este, por otro la escuela brasileña y latina. Aunque en ambos casos el fin es el mismo, los rusos suelen contar con unas técnicas e infraestructuras más profesionales. Veamos un ejemplo concreto accediendo al panel de control de un troyano activo con más de 20.000 usuarios infectados.

En Rusia y países del éste se producen los troyanos bancarios más profesionales, alcanzando las estafas más importantes cuantitativamente hablando, tanto por importes económicos como por número de usuarios afectados.

Parte del éxito está basado en su técnica de propagación e infección. Esta escuela suele utilizar la distribución por web aprovechando vulnerabilidades de los navegadores más utilizados y otro software de uso común, como reproductores multimedia o utilidades de compresión.

En el mercado ruso underground pueden conseguirse kits que permiten instalar toda la infraestructura necesaria para realizar la distribución, infección y gestión de los sistemas troyanizados. Por ejemplo, con MPACK, los atacantes pueden crear webs que aprovechan vulnerabilidades de Windows, Internet Explorer, Firefox, Opera, QuickTime y WinZip.

Detalle del manual en ruso de MPACK, donde se detallan las vulnerabilidades explotadas:



Los atacantes sitúan el código que explota las vulnerabilidades en sitios webs diseñados para la ocasión o ya existentes. En el caso de los sitios webs diseñados para la ocasión utilizan el spam para promocionarlos, e invitar a usuarios incautos a que los visiten con cualquier excusa (por ejemplo visualizar contenidos eróticos o algún otro tema que pueda resultar potencialmente atractivo). En otras ocasiones aprovechan debilidades en servidores webs existentes para incrustar el código malicioso en ellos, de forma que la infección puede producirse al visitar un sitio web "normal" y legítimo.

A efectos prácticos, si un usuario visita una web con alguna versión no actualizada de Windows, de su navegador, o de algún otro software vulnerable y aprovechado por los atacantes, automáticamente y de forma transparente se le instalará el troyano bancario en su sistema.

La escuela brasileña no suelen aprovechar vulnerabilidades en la distribución e infección. En su lugar suelen acudir a la ingeniería social, incitan a que el usuario ejecute el troyano mediante algún engaño, por ejemplo haciéndole creer que va a abrir una foto.

La programación del troyano también difiere entre la escuela rusa y brasileña, ya que los primeros suelen decantarse por técnicas de "man in the browser", lo que les permite inyectar y capturar datos en la comunicación entre el servidor de la entidad bancaria y el navegador del usuario. Mientras que los rusos suelen hacer este ataque a través de un BHO o similar e interactuar directamente con el código HTML de la sesión, los brasileños se suelen decantar por una técnica más primitiva pero igual de efectiva, superponer ventanas en el navegador que simulan el formulario de autenticación.

El resultado es el mismo, en ambos casos pueden solicitar al usuario que introduzcan sus claves de operaciones o de la tarjeta de coordenadas en la propia web de la entidad, apareciendo la dirección del banco totalmente legítima en el navegador y pese a estar conectado con una sesión segura (https y candadito).

Una vez consiguen las claves del usuario, el troyano las envía a los atacantes. Los troyanos rusos suelen utilizar peticiones HTTP con ofuscación/cifrado para enviar los datos capturados a una base de datos centralizada en un servidor web del atacante, donde mantienen toda la información de los equipos infectados, pudiendo hace estadísticas, consultas, filtros, enviar nuevas instrucciones a los troyanos, etc. Un auténtico panel de control remoto con gestión de datos centralizada.

Por contra, la mayoría de troyanos brasileños utilizan el envío por e-mail de las credenciales capturadas en claro, normalmente a alguna cuenta gratuita del atacante (Gmail es el servicio más utilizado). En otras ocasiones también suben los contenidos de los logs en ficheros .txt a algún servidor FTP. Como se aprecia la gestión de los datos robados suele ser más primitiva y manual por parte de los brasileños y latinos, además no permiten enviar comandos a los sistemas infectados para que lleven a cabo otras acciones.

A continuación vamos a ver algunas capturas de uno de los paneles de control de uno de los troyanos rusos que Hispasec ha analizado en las últimas horas. Este tipo de accesos es usual y cotidiano por parte de las empresas del sector de la seguridad, a diario se acceden y/o clausuran sitios similares, aprovechando descuidos en la configuración o vulnerabilidades en la infraestructura de los atacantes.

En esta ocasión, en el momento del acceso al panel de control, el troyano había logrado infectar a más de 20.000 sistemas, entre ellos más de 2.000 españoles, y el log de datos capturados supera los 15 gigabytes.

Estadísticas de infección por países:



Estadísticas por tramo horario de sistemas infectados conectados:



Parte del listado de direcciones de bancos que monitoriza:



Detalle de la configuración de inyección HTML en el caso del BBVA
para incrustar un campo solicitando la clave de transferencias:



Filtro para hacer búsquedas concretas:



Resultado de una búsqueda de usuarios de entidades alemanas:




Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Troyanos bancarios... haciendo callo
http://blog.hispasec.com/laboratorio/267

domingo, 27 de enero de 2008

¿Port Knocking... ofuscación o capa de seguridad?

El objeto de este artículo es recordar el concepto de "Port Knocking" y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre "Single Packet Authorization" (SPA). "Port Knocking" no es un ingenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente en listas de correo y discusiones sobre seguridad.

¿Qué es "Port Knocking"?

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de "Port Knocking" es exactamente análogo.

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

Tomemos como ejemplo un demonio sshd escuchando en el puerto 22/TCP. Elegimos como secuencia de barrido la sucesión 43, 6540 y 82. El puerto 22 se abrirá si, y solo si, un usuario inicializa conexiones TCP hacia los puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el usuario recibirá como respuesta un RST/ACK cuando intenta comenzar una conexión hacia el puerto 22.

Si la secuencia correcta de inicializaciones ha sido efectuada, el puerto 22 se abrirá durante un lapso de tiempo determinado y únicamente para la IP que completó la secuencia previa. Una vez el puerto 22 se halle abierto, se pueden llevar a cabo medidas adicionales de autenticación.

Polémica

Muchos son los que defienden que "Port Knocking" no es una capa de seguridad sino una medida de ofuscación ("security by obscurity"). Lo cierto es que hay argumentos a favor y en contra de ambas afirmaciones.

Acudiendo a las definiciones clásicas de los tipos de autenticación (algo que sabes, algo que eres y algo que tienes), este mecanismo se encuadraría en el primer conjunto. Ahora bien, si un atacante conociera la existencia de esta medida y fuera capaz de escuchar el tráfico (en lado cliente o servidor), esta medida de seguridad sería tan débil como las contraseñas que viajan en claro.

Por tanto, como muchas otras técnicas, se trata de una línea de defensa que de manera aislada puede resultar muy débil, pero que junto con medidas adicionales puede proporcionar un nivel de robustez aceptable.


Consideraciones de seguridad

* Un atacante siempre podría intentar un ataque por fuerza bruta con el fin de descubrir la secuencia de puertos correcta, no obstante este ataque sería fácilmente detectado teniendo en cuenta su naturaleza ruidosa. Para una secuencia de 3 puertos, si el ataque recorre el rango de puertos 1 a 65535, esto implica que el ataque sería del orden de 655.353 tentativas, teniendo una esperanza de la mitad de este valor. Por tanto, como media, serían necesarios unos 140 billones de paquetes hasta conseguir la apertura del puerto deseado. Obviamente, esto se puede complicar mucho más incrementando el número de puertos de la secuencia.

* Si un atacante ha conseguido la secuencia de puertos, nada le impide hacer un "replay" de la secuencia capturada contra el servidor para así abrir el puerto. Sería por tanto interesante que la secuencia mutara con el tiempo, que se hiciera algún tipo de Hash con información adicional (temporal, etc.) o alguna otra medida para impedir los ataques por "replay". No obstante ello implicaría sincronización cliente-servidor y/o involucrar otros campos de los paquetes que no fueran tan sólo los 16bits del puerto destino en la cabecera TCP. Como consecuencia de estas modificaciones, la medida se hace difícilmente escalable en situaciones donde hay un gran número de clientes.

* Mucho más sencillo es hacer una denegación de servicio. Debido al lapso existente entre cada inicialización de conexión en la secuencia, un atacante puede simular y enviar paquetes para interrumpir la secuencia que está construyendo un usuario legítimo. Así, nada impide a un atacante el emplear herramientas como hping para forjar paquetes con la dirección IP de un usuario legítimo y enviar un flujo continuo hacia puertos aleatorios de la máquina servidor para que dicho usuario legítimo jamás sea capaz de completar una secuencia válida.

* Por último en esta lista no exhaustiva de reflexiones, para un observador del tráfico de red, un "Port Knocking" es indistinguible de un escaneo de puertos. Muchos IDS detectan los escaneos de puertos y algunos no tienen forma de diferenciar lo que es un "Port Knocking" de lo que es un escaneo. Si el umbral de paquetes para alertar de un escaneo de puertos es lo suficientemente bajo, el "port knocking" podría introducir ruido no deseado en los logs del IDS.

Aplicaciones

* Imaginemos que deseamos correr un servidor SSH para compartir archivos con nuestros amigos. No deseamos que gusanos, automatismos y usuarios maliciosos encuentren el puerto del servidor SSH abierto en sus escaneos de reconocimiento para posteriormente lanzar un ataque por fuerza bruta que consume recursos y podría dar lugar a una intrusión. En este caso podríamos emplear "port knocking" para evitar "automatismos tontos". Obviamente, tras el "Port Knocking" deberíamos tener como mínimo una autenticación por usuario/contraseña, y además, deseablemente, autenticación basada en algún algoritmo de clave pública.

* Una aplicación más oscura, y probablemente más popular, del "Port Knocking" es como método de ocultación de puertas traseras (ejemplo: cd00r.c). Muchos atacantes, tras haber instalado una puerta trasera en una víctima, la camuflan mediante "Port Knocking", de esta forma cualquiera que intente detectar anomalías basadas en la apertura de nuevos puertos difícilmente detectará la intrusión. Así, los servicios basados en herramientas como Nesus para detectar alteraciones en ciertas redes presentan una gran punto débil ante dichos ingenios y los profesionales de la seguridad no deberían tomar sus resultados como verdades absolutas.

Conclusión

"Port knocking" se basa en la comunicación de información en las cabeceras de los paquetes, lo cual limita severamente la cantidad de información que puede ser transmitida, y por tanto, su fortaleza como capa de seguridad. En una futura reflexión analizaremos otras técnicas como "Single Packet Authorization" (SPA), que presenta grandes ventajas sobre el mecanismo aquí estudiado.


Emiliano Martínez Contreras
emartinez@hispasec.com


Más información:

An Analysis of Port Knocking and Single Packet Authorization
Sebastien Jeanquier
http://www.securethoughts.net/spa/

Port Knocking
http://www.portknocking.org/

Port Knocking with IPTables
http://www.neep.co.uk/index.php?tab=Projects&menu=Port%20Knocking

sábado, 26 de enero de 2008

Denegación de servicio en Cisco PIX and ASA

Se ha encontrado una vulnerabilidad en Cisco PIX 500 Series Security Appliance (PIX) y Cisco 5500 Series Adaptive Security Appliance (ASA) que podría ser explotada por un atacante remoto para causar una denegación de servicio.

La vulnerabilidad se produce al procesar paquetes IP especialmente manipulados si la característica Time-to-Live (TTL) está activada. El fallo podría causar que el dispositivo se reiniciase causando una denegación de servicio

La característica TTL decrement se introdujo en la versión 7.2(2) y viene deshabilitada por defecto. Son vulnerables los Cisco PIX y ASA que ejecuten software anterior a 7.2(3)006 o 8.0(3) y que tengan habilitada la característica TTL decrement.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a008093942e.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco PIX and ASA Time-to-Live Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a008093942e.shtml

viernes, 25 de enero de 2008

Actualización del kernel para Red Hat Enterprise Linux 5.x

Red Hat ha publicado una actualización para el kernel de Red Hat Enterprise Linux 5.x que soluciona múltiples vulnerabilidades.


* Un fallo en el virtual filesystem VFS que podría permitir a un atacante local acceder a directorios para los que no tuviese permiso.

* Un fallo en la emulación Xen PAL en plataformas Intel de 64 bits. Una máquina virtual podría leer memoria de la máquina física.

* Un fallo en la forma en la que los ficheros de core dump se crean podría permitir a un atacante obtener información de archivos de core creados por root.

* Un desbordamiento de memoria intermedia en el sistema de ficheros virtual CIFS. Un usuario remoto autenticado podría provocar una denegación de servicio.

* Un fallo en la función sysfs_readdir podría permitir a un atacante local provocar una condición de carrera que provocaría una denegación de servicio.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2008-0089.html

jueves, 24 de enero de 2008

El malware del futuro se creará en parte en África y Centroamérica

Eso opinan en F-Secure. Además, han repasado someramente la historia del origen del malware, concluyendo que en el futuro, además de las localizaciones habituales donde se origina el malware actual, África y Centroamérica representarán una nueva fuente de crimen organizado.

Ya sabemos, y hemos repetido durante mucho tiempo, que el malware actual está perfectamente organizado, y las dos grandes escuelas residen en Brasil y Europa del Este, principalmente Rusia. China también se presenta como una potencia importante en los últimos tiempos, a la hora de la creación de troyanos. Las razones son varias, y probablemente se deba en realidad un cúmulo de muchas otras no mencionadas. En principio, Rusia ha sido tradicionalmente un país con grandes matemáticos y científicos, sin embargo, Brasil, China o la propia Rusia no han tenido ni la industria ni la infraestructura necesarias para absorber el potencial que poseían. Las personas que quieran explotar sus habilidades, adquiridas de forma autodidacta a través de Internet o libros específicos, acuden casi de forma natural hacia una organización criminal perfectamente estructurada y asentada donde es posible obtener dinero de forma sencilla, o bien son directamente absorbidos y contratados a sueldo si sus habilidades así lo merecen.

A finales de los ochenta, en los primeros noventa y ya casi a principios de siglo, el malware provenía de varios países, mucho más repartidos en todo el mundo. Casi todos los países con acceso al Internet de Entonces, incluyendo muchos de Europa (entre ellos España con un gran potencial vírico, donde la 'scene' llegó a ser de gran calidad), Estados Unidos, Japón, India y Australia... eran el centro vírico por excelencia. Muchos de los virus del momento procedían de estos puntos del planeta.

Desde que el malware es industria (hacia 2004), sin embargo, la producción se ha concentrado sobre todo en los países mencionados antes (Brasil, Rusia y China) eclipsando al resto. Según F-Secure, en los próximos años las fuentes se diversificarán hacia el centro de África, Centroamérica y sureste asiático. Esto se deberá a un mayor desarrollo de las tecnologías en países con recursos limitados para absorber habilidades. De nuevo, se darían las circunstancias de lo que parece ser el caldo de cultivo perfecto para el crimen informático organizado.

En Centroamérica sí que existen ya pequeños focos más o menos organizados que crean malware más o menos primitivo, y se espera que esto cambie con el tiempo, y sus creaciones se vayan sofisticando. En cualquier caso, todos tendrán que conformarse con los restos dejados por los brasileños y rusos, que con diferencia copan el mercado vírico en estos momentos y no parece que el reparto vaya a cambiar en los próximos años.

Pero sobre todo, parece que queda mucho para que ningún país pueda tomarle la delantera a Rusia, donde han ganado una grandísima ventaja con respecto al resto en calidad y cantidad de producción de malware.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Experts map out future malware creation hotspots
http://www.f-secure.com/f-secure/pressroom/news/fsnews_20080117_1_eng.html

miércoles, 23 de enero de 2008

Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x

Se ha encontrado un fallo de seguridad en Apache que podría permitir a un atacante provocar un problema de cross site scripting.

El fallo se da en el módulo mod_negotiation, que no filtra correctamente código HTML de nombres antes de mostrar la entrada como parte de un mensaje HTTP 406 (Not Accesptable) o como parte del mensaje HTTP 300 (Multiple Choices). Si un atacante pudiese controlar un nombre de fichero en el sistema Apache, y el visitante visitara una URL especialmente manipulada que apuntara a él, se podría ejecutar código HTML y Script en el navegador del usuario en el contexto de la página afectada.

No existe parche oficial. Se recomienda deshabilitar el módulo implicado si no se utiliza o deshabilitar el tipo de respuesta implicado.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apache mod_negotiation Input Validation Hole Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2008/Jan/1019256.html

martes, 22 de enero de 2008

Revelación de información a través de X11 en Sun Solaris 8, 9 y 10

Sun ha publicado una vulnerabilidad en X11 que podría permitir a un atacante local obtener información sensible.

El fallo se da el manejo erróneo de parámetros por línea de comandos en los servidores Solaris Xorg, Xsum y Xprt. Un atacante local podría determinar la existencia de ficheros o directorios en lugares donde no debería tener acceso.

No existe parche oficial. Se recomienda cambiar el bit setuid o setgid de los servidores afectados con los comandos:

# chmod 0755 /usr/openwin/bin/Xsun /usr/openwin/bin/Xprt
# chmod 0755 /usr/X11/bin/Xorg /usr/X11/bin/i386/Xorg
/usr/X11/bin/amd64/Xorg


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris X Server May Lead to Unauthorized Disclosure of Information on Access Restricted Files and Directories
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103205-1

lunes, 21 de enero de 2008

Ejecución remota de código en Microsoft Visual Basic 6.x

Se han encontrado varias vulnerabilidades en Microsoft Visual Basic 6.x que podrían ser explotadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario con los permisos del usuario ejecutando la aplicación.

La vulnerabilidad está causada por errores de límite en MSDE.dll al manejar archivos .dsr, lo que podría provocar un desbordamiento de búfer basado en pila. Esto podría ser explotado por un atacante remoto, por medio de un archivo que contenga cadenas demasiado largas para los campos ConnectionName o CommandName, para causar que la aplicación deje de responder o ejecutar código arbitrario.

Para que la ejecución de código pueda llevarse a cabo con éxito el usuario tendría que abrir el archivo .dsr especialmente modificado y pinchar en alguno de los dos campos citados anteriormente.

Está confirmada la existencia de un exploit para la versión 6.0 SP6 y podría afectar también a todas las versiones anteriores.

Se recomienda no abrir archivos .dsr no confiables o de procedencia dudosa.


Pablo Molina
pmolina@hispasec.com


Más información:

MS Visual Basic Enterprise Ed. 6 SP6 ".dsr" File Handling Buffer Overflow
http://www.milw0rm.com/exploits/4938

domingo, 20 de enero de 2008

Ejecución de código en Cisco Unified Communications Manager

Cisco ha dado a conocer una vulnerabilidad en Cisco Unified Communications Manager que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria intermedia basado en heap en el servicio Certificate Trust List (CTL) Provider. Un usuario remoto no autenticado podría provocar una denegación de servicio o ejecutar código arbitrario si envía paquetes especialmente manipulados. El puerto usado por el servicio es el 2444 por defecto.

Los sistemas afectados son:
Cisco Unified CallManager 4.0
Cisco Unified CallManager 4.1 Versiones anteriores a 4.1(3)SR5c
Cisco Unified Communications Manager 4.2 Versiones anteriores a
4.2(3)SR3
Cisco Unified Communications Manager 4.3 Versiones anteriores a
4.3(1)SR1

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080932c61.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager CTL Provider Heap Overflow
http://www.cisco.com/en/US/products/products_security_advisory09186a0080932c61.shtml

sábado, 19 de enero de 2008

Múltiples vulnerabilidades a través de Solaris X Server Extensions

Sun ha reconocido múltiples vulnerabilidades en Solaris X Server Extensions que podrían permitir a un atacante remoto ejecutar código arbitrario en sistemas Sun Solaris 8, 9 y 10.

El fallo se da en las extensiones X11 XInput, EVI, MIT SHM y XFree86-MISC para el Solaris X11 y Solaris X11 print server. Un atacante remoto autorizado por xhost o xauth podría hacer que la aplicación dejase de responder o ejecutar código arbitrario con privilegios de root.

Como contramedida es posible evitar la ejecución de instrucciones en pila, aunque puede hacer que algunas aplicaciones no se ejecuten correctamente:
set noexec_user_stack = 1
set noexec_user_stack_log = 1

También es posible deshabilitar las extensiones problemáticas:
$ /usr/X11/bin/Xorg -extension

Están disponibles los siguientes parches preliminares desde http://sunsolve.sun.com/tpatches:
Plataforma SPARC:
Solaris 8 T-patch T119067-09 (para Xsun(1))
Solaris 9 T-patch T112785-63 (para Xsun(1))
Solaris 10 T-patch T125719-07 (para Xorg(1))

Plataforma x86:
Solaris 8 T-patch T119068-09 (para Xsun(1))
Solaris 9 T-patch T112786-52 (para Xsun(1))


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in the Solaris X Server Extensions May Lead to a Denial of Service (DoS) Condition or Allow Execution of Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103200-1

viernes, 18 de enero de 2008

Grupo de parches de enero para diversos productos Oracle

Oracle ha publicado un conjunto de 26 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos.
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones
10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones
10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.0 - 12.0.3
Oracle E-Business Suite Release 11i, versiones 11.5.9 - 11.5.10 CU2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle Database 9i, version 9.0.1.5 FIPS+
Oracle Application Server 9i Release 1, versión 1.0.2.2

De las 26 correcciones:

* 8 afectan a Oracle Database. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 6 afectan a Oracle Application Server. 5 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. 2 nuevas son aplicables a las instalaciones de cliente.

* 1 afecta a Oracle Collaboration Suite.

* 7 afectan a Oracle E-Business Suite. 3 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 4 afectan a Oracle PeopleSoft Enterprise PeopleTools. 1 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

* Critical Patch Update - January 2008 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=467880.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

jueves, 17 de enero de 2008

Un año de Storm Worm

El 19 de enero de 2008 se cumple un año del primer 'avistamiento' de Storm Worm. Hoy en día es una de las epidemias más extendidas, y cumple un año con un índice aceptable de infección que sin duda le permitirá permanecer aferrado a los primeros puestos durante bastante semanas más.

Muchos lo llaman Storm, otros Peacomm o Nuwar. Es difícil seguirle el juego. Se dice que el primer Storm Worm fue visto por primera vez en Helsinki el 19 de enero de 2007. Desde entonces, se ha posicionado como una insistente epidemia de nuestro tiempo y siempre ha resultado bastante mediático.

Storm Worm comenzó como un ejemplo de libro en cuestión de métodos de infección. Un archivo ejecutable adjunto a un correo que prometía un vídeo sobre las tormentas que sufría Europa en aquel momento. Sin embargo, una vez conseguida una base sustancial de víctimas e infectados, estos mismos sistemas troyanizados comenzaron una campaña de expansión a través de spam que todavía inunda las casillas de correos.

Luego ha mejorado con distintas campañas. Cada cierto tiempo, cambia el método de infección. Desde el adjunto hasta la invitación a visitar páginas web que no solo pretendía que la víctima descargase el troyano, sino que intentaba aprovechar vulnerabilidades de todos los navegadores para conseguir la ejecución.

Otro de los puntos fuertes de este virus ha sido su capacidad de poliformismo en servidor. El archivo que descargaban las víctimas podía mutar hasta varias veces por minuto, detectándose literalmente decenas de pequeñas y grandes variaciones por día alojadas en servidores.

Las campañas con la que Storm ha enviado correos basura para incitar a la infección han sido de lo más variopintas... desde invitaciones a la descarga de juegos, pasando por premios de la lotería, cirugía barata, contraseñas para portales especiales... y, la última, invitaciones de amor para el día de San Valentín.

Hace tiempo que no se recordaba una epidemia tan duradera. Si bien no se percibe igual que en los tiempos del Klez (un año en el "top ten" una proeza para ser el año 2003), Code Red, Nimda, MyDoom.... Solo NetSky, en especial su variante NetSky.P, puede decirse que vaya a la zaga. Descubierto en marzo de 2004, no es raro encontrar sistemas infectados con esta variante todavía.

Y no es solo que Storm Worm mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se sirve de cientos de servidores comprometidos o no, una capacidad de mutación endiablada, y una modularidad que permite que sus funcionalidades cambien continua y radicalmente. Por tanto Storm Worm no se podría clasificar como un troyano sino como un complejo sistema perfectamente orquestado, cambiante y eficaz. Muy al estilo malware 2.0.

Existen otras familias, como los Sinowal o Zlob, que de forma mucho más silenciosa, llevan también presentes en Internet desde hace muchos meses, aunque no de manera tan notoria. De hecho, el ratio de detección en VirusTotal de este tipo de familia (Sinowal) suele ser del 25%.


Sergio de los Santos
ssantos@hispasec.com


Más información:

From Storm With Love!
http://www.f-secure.com/weblog/archives/00001363.html

23/10/2007 La epidemia del 'Storm Worm', algunas cifras
http://www.hispasec.com/unaaldia/3286

miércoles, 16 de enero de 2008

Dos tercios de los administradores de Oracle nunca aplican parches de seguridad

La empresa Sentrigo ha publicado una encuesta sobre seguridad en Oracle. Los resultados materializan la sensación generalizada del problema de la gestión de seguridad de Oracle. Dos tercios de los administradores no parchean sus bases de datos. Mientras, acaba de publicarse el último ciclo de parcheo trimestral de Oracle que corrige 26 fallos de seguridad. Menos de los habituales.

Las preguntas que la compañía Sentrigo ha venido realizando a 305 profesionales desde agosto del año pasado fueron dos: ¿Ha instalado el último Oracle CPU (Critical Patch Update)? El 90% respondió que no. Por otro lado también se interesaron en conocer: ¿Alguna vez ha instalado un Oracle CPU? A lo que el 67.5% respondió que no, que nunca lo habían instalado. CPU es el nombre que da Oracle a su lote de parches trimestrales. Puede contener desde 26 correcciones para toda su gama de productos, hasta más de 100, como ocurrió en octubre de 2006.

Oracle publica en enero, abril, julio y octubre un lote de parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas se dan detalles concretos. Las consecuencias de los fallos suelen ser que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Aun así, según Sentrigo, dos tercios nunca han aplicado ningún CPU, que llevan publicándose desde mediados de 2005.

Y no es de extrañar. Incluso para usuarios instruidos, parchear una base de datos Oracle puede convertirse en toda una hazaña, en la que primero es necesario moverse entre enormes tablas o matrices para dar con la versión exacta de cada una de las (normalmente entre 60 y 80) vulnerabilidades que se corrigen trimestralmente. Componentes de aplicaciones, parches acumulativos, versiones con y sin contramedidas, interminables matrices de riesgo... no son pocos los administradores que desisten directamente cuando se enfrentan trimestralmente a tan complicada tarea. Además, cabe recordar que Oracle suele gestionar servicios críticos, donde cometer un error o volver inestable el sistema simplemente no es una opción. Sin embargo, como es lógico, no parchear puede tener consecuencias mucho peores si la base de datos queda expuesta a atacantes.

Aun así, Oracle ha dado importantes pasos para lavar su imagen en cuestión de seguridad. Mejorando la claridad de sus avisos, regularizando las alertas, clasificando su criticidad, proporcionando por adelantado información sobre lo que será parcheado días antes de su ciclo... Lamentablemente parece que, después de todo, estos esfuerzos sólo sirven para un pequeño porcentaje de administradores de sus productos que sí aplican los parches... y además deja a las bases de datos de Oracle como un apetitoso objetivo para atacantes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Survey of Oracle Database Professionals Reveals Most Do Not Apply Security Patches
http://www.sentrigo.com/press_releases-newsid-39.htm

Oracle Critical Patch Update - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

martes, 15 de enero de 2008

Denegación de servicio a través de libxml2 en Sun Solaris 9 y 10

Sun ha publicado una actualización para libxml2 que viene con Solaris 9 y 10 que soluciona un fallo que podría permitir a un atacante provocar una denegación de servicio.

El problema reside en que un atacante puede emplear un archivo XML especialmente manipulado para provocar una denegación de servicio si este es procesado con una aplicación que haga uso de la librería afectada.

Según versión y plataforma, se recomienda aplicar los parche preliminares desde: http://sunsolve.sun.com/tpatches

Para SPARC
Solaris 9 instalar T114014-18
Solaris 10 instalar T125731-02

Para x86:
Solaris 9 instalar T114015-18
Solaris 10 instalar T125732-02


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the libxml2 Library may Lead to a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103201-1

lunes, 14 de enero de 2008

La última vulnerabilidad de Real Player, aprovechada para infectar sistemas

El primer día del año se dio a conocer una grave vulnerabilidad en RealPlayer que permitía la ejecución de código. El problema se descubrió cuando ya estaba siendo aprovechado, y ahora se ha popularizado hasta el punto de que el código que lo explota está incrustado en miles de páginas web legítimas, víctimas de un ataque a gran escala.

Al igual que ocurriera en junio de 2007 con un servidor alojado en Italia (ataque del que informó Hispasec Sistemas), miles de páginas han sido comprometidas y modificadas de forma automática para infectar a sus visitantes. Recordemos que este tipo de ataques funcionan en dos fases: el atacante se hace con un servidor web legítimo, incrustando código en él, normalmente IFRAMEs. El código aprovecha habitualmente vulnerabilidades del navegador (o componentes adicionales no actualizados del visitante) para infectarlo. Este ataque en concreto aprovecha (entre otras más antiguas de Internet Explorer) una reciente vulnerabilidad de RealPlayer para que los visitantes de las páginas legítimas ejecuten código que previamente ha sido incrustado a la fuerza en ellas. Los dominios incrustados son uc8010.com, ucmal.com y rnmb.net, que es donde finalmente se alojan los scripts que explotan el fallo. Se estima que hay unos 80.000 páginas infectadas. Todo tipo de webs se han visto afectadas por este problema. Gubernamentales, grandes empresas, bancos...

Aproximadamente el 40% de los motores antivirus en VirusTotal son capaces de detectar el ataque. El fin de esta campaña de infección no está claro. En principio parece instalar un "keylogger". El visitante vulnerable queda a merced del atacante, con lo que casi con bastante probabilidad, el "payload" del ataque pasará por distintas fases, todas destinadas al lucro para el creador del malware.

¿De qué manera "alguien" ha podido modificar tantas páginas legítimas para que redirijan a sus visitantes hacia la infección? En otras ocasiones, los atacantes entran en un servidor de hospedaje, y una vez bajo su control, modifican las miles o cientos de páginas que aloja. Sin embargo este ataque posee una característica que ha permitido su rapidísima difusión. Es capaz de buscar automáticamente páginas web vulnerables y aprovechando problemas de inyección SQL, llegar a la base de datos e incrustar su código en ellas. En la inyección SQL ha tenido en cuenta la estructura de bases de datos del servidor SQL de Microsoft, y se ayuda de páginas web programadas de forma insegura para acceder a la base de datos y modificarlas. Lo que permite el asalto a las webs es la pobre programación de las páginas y no la infraestructura que las soporta, por lo que en cualquier momento los atacantes podrían cambiar el objetivo hacia páginas con MySQL o cualquier base de datos.

Aunque eficaz en su difusión, el ataque sufre problemas en el apartado de "capacidad de infección" a las víctimas. Se utiliza una vulnerabilidad muy reciente (una ventaja para los atacantes), y una difusión de tipo gusano, pero aun así este ataque no puede ser tan efectivo como otros. La diferencia es que no utiliza estructuras como Mpack para gestionar las infecciones, y por tanto no es capaz de hacer un pequeño análisis de la víctima antes de infectarla. Por ejemplo no controla el tipo de navegador, confiando a ciegas en que el exploit para RealPlayer e Internet Explorer funcione con la víctima. Recordemos que Mpack permitía conocer el navegador del visitante y aplicar el exploit más "adecuado" según versión.

Para los administradores de servidores web, ahora más que nunca, se recomienda revisar el código de sus páginas para evitar ataques de inyección SQL. Para los usuarios, actualizar sus sistemas y navegar con privilegios bajos, aunque para el fallo en RealPlayer todavía no se ha publicado parche. En general, para los administradores de redes de usuarios se pueden bloquear los dominios involucrados en el ataque, aunque estos puedan ser modificados en cualquier momento.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Massive RealPlayer Exploit Embedded Attack
http://ddanchev.blogspot.com/2008/01/massive-realplayer-exploit-embedded.html

Massive embedded exploit web site attack underway
http://www.heise-security.co.uk/news/101488

Mass exploits with SQL Injection
http://isc.sans.org/diary.html?storyid=3823

SQL Injection Attack Infects Thousands of Websites
http://www.modsecurity.org/blog/

domingo, 13 de enero de 2008

Varias vulnerabilidades en Mozilla Thunderbird afectan a HP-UX 11.x

Se han descubierto varias vulnerabilidades en Mozilla Thunderbird que podrían afectar a sistemas HP-UX con dicho programa instalado.

Estas vulnerabilidades podrían ser aprovechadas por un atacante para provocar una denegación de servicio, obtener una escalada de privilegios o comprometer un sistema vulnerable.

Estas vulnerabilidades afectan a las versiones HP-UX .11.11 y B.11.23 con Mozilla Thunderbird anterior a la versión 2.0.0.9 instalado.

Se ha publicado la versión preliminar de Mozilla Thunderbird 2.0.0.9. Esta versión no está completamente comprobada aunque solventa las vulnerabilidades mencionadas.

Se recomienda actualizar a la versión 2.0.0.9 de Mozilla thunderbird disponible para su descarga desde:
ftp://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/2.0.0.9/contrib/

Para HP-UX B.11.23 y B.11.31 (IA)
tbird_200900alpha_ia.depot
tbird_200900alpha_ia.depot.readme

Para HP-UX B.11.11, B.11.23 y B.11.31 (PA)
tbird_200900alpha_pa.depot
tbird_200900alpha_pa.depot.readme


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HPSBUX02156 SSRT061236 rev.4 - HP-UX Running Thunderbird, Remote Unauthorized Access or Elevation of Privileges or Denial of Service (DoS)
http://www.securityfocus.com/archive/1/485952

sábado, 12 de enero de 2008

Ejecución remota de código a través de OVTrace en productos HP OpenView

Se han encontrado varios desbordamientos de memoria intermedia basado en pila en el servicio OVTrace de HP OpenView Operations para Windows que podrían permitir a un atacante ejecutar código arbitrario con los privilegios de System.

Los fallos se dan en funciones responsables de manejar peticiones. Las funciones toman un cadena de la petición y la copian a búferes de tamaño fijo. La longitud no es validada convenientemente y esto deriva en el desbordamiento de memoria.

El servicio se inicia en el sistema por defecto.

Los productos afectados son:
OpenView Internet Service (OVIS) bajo HP-UX, Linux, Solaris, y Windows
OpenView Performance Manager (OVPM) bajo HP-UX, Solaris, y Windows
OpenView Performance Agent (OVPA
OpenView Reporter
OpenView Operations (OVO) Agents
OpenView Operations Manager para Windows (OVOW) con OpenView Operations Add On Module for OpenView Operations-Business Availability Center Integration
OpenView Service Quality Manager (OV SQM)
OpenView Network Node Manager (OV NNM)
OpenView Dashboard
OpenView Performance Insight (OVPI)

Se recomienda actualizar con los siguientes parches para las distintas versiones, disponibles desde:
http://itrc.hp.com

Versiones afectadas (para HP-UX): HP-UX B.11.11, HP-UX B.11.23 y HP-UX B.11.31:

OVO-CLT.OVO-UX11-CLT: PHSS_37397 o superior
OVO-CLT.OVO-UXIA-CLT: PHSS_37399 o superior
OVO-CLT.OVO-SOL-CLT: PHSS_37398 o superior
OVO-CLT.OVO-WIN-CLT: PHSS_37335 o superior
OVO-CLT.OVO-LIN-CLT: PHSS_36278 o superior
OVO-CLT.OVO-AIX-CLT: PHSS_37336 o superior
OVO-CLT.OVO-TRU-CLT: PHSS_35457 o superior

Para Solaris instalar los parches:

ITOSOL_00633 en Solaris ejecutando HP-UX PA
ITOSOL_00635 en Solaris ejecutando HP-UX IA
ITOSOL_00634 en Solaris ejecutando Solaris
ITOSOL_00628 en Solaris ejecutando Windows
ITOSOL_00586 en Solaris ejecutando Linux
ITOSOL_00629 en Solaris ejecutando AIX
ITOSOL_00530 en Solaris ejecutando Tru64 Unix


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HPSBMA02239 SSRT061260 rev.3 - HP OpenView Operations (OVO) Agents Running Shared Trace Service, Remote Arbitrary Code Execution
http://www.securityfocus.com/archive/1/485989

viernes, 11 de enero de 2008

Elevación de privilegios a través de NICM.SYS en Novell Client 4.x

Novell ha publicado una actualización para Novell Netware Client que soluciona un fallo que permitiría a atacantes locales elevar privilegios.

El controlador NICM.SYS 3.0.0.4, usado en Novell NetWare Client 4.91 SP4, permite a usuarios locales ejecutar código arbitrario con privilegios elevados si se abre el dispositivo \\.\nicm y se proporcionan direcciones de kernel especialmente modificadas a través de IOCTLs con el método de buffering METHOD_NEITHER.

Se recomienda aplicar el parche correspondientes desde:
http://download.novell.com/Download?buildid=4FmI89wOmg4~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell Client 4.91 Post-SP3/4 NICM.SYS
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5007683.html

jueves, 10 de enero de 2008

Ejecución remota de código a través de la implementación de TCP/IP en Windows

Dentro del conjunto de boletines publicado el pasado martes, Microsoft anunció en el boletín MS08-001 una actualización para la implementación TCP/IP de Windows que soluciona dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario o causar una denegación de servicio.

* El problema se debe a la forma en la que el kernel de Windows maneja las estructuras TCP/IP que almacenan los estados de las peticiones IGMPv3 y MLDv2. El kernel de Windows realiza una validación insuficiente al almacenar el estado de las peticiones IGMP procesadas por TCP/IP. Esto podría permitir a un atacante remoto ejecutar código arbitrario por medio de paquetes IGMPv3 y MLDv2 especialmente manipulados enviados a través de la red. Un atacante que explote con éxito esta vulnerabilidad podría tomar control total sobre el sistema.

* Se ha encontrado otro fallo en la forma en la que el kernel de Windows procesa las peticiones de anuncio de ruta icmp fragmentadas. El kernel de Windows realiza una validación insuficiente de éstos paquetes. Ésto podría permitir a un atacante remoto causar que el sistema deje de responder (denegación de servicio) provocando que el sistema afectado deje de aceptar peticiones. Para que se pueda explotar ésta vulnerabilidad se requiere el ICMP Router Discovery Protocol (RDP), y esté no viene activado por defecto.

Este parche reemplaza al uno anterior (MS06-032) en Windows 2000, XP y Server 2003.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyID=980f5457-c7b5-421c-8643-0e57429ec156

Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a766242-2342-4fa0-9b66-8953c54a2211

Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=2e8bc7d5-fe81-4ed5-9efa-360738d160ee

Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack
2
http://www.microsoft.com/downloads/details.aspx?FamilyID=fda060a5-9a1e-4036-9899-13eb61fdd8be

Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyID=19d993f9-06dd-4dc4-b0cc-c59e822eb8fa

Windows Server 2003 con SP1 para Itanium-based Systems y Windows
Server 2003 with SP2 for Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyID=2c2264f7-ebbb-40ab-9dbf-9b4e313665a7

Windows Vista
http://www.microsoft.com/downloads/details.aspx?FamilyID=23c0e03a-db66-4618-bce0-af55e5c1b067

Windows Vista x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyID=5f6a37b1-c604-47c9-932f-485db2eda133


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS08-001
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)
http://www.microsoft.com/technet/security/bulletin/MS08-001.mspx

miércoles, 9 de enero de 2008

Nuevos contenidos en la Red Temática CriptoRed (diciembre de 2007)

Breve resumen de las novedades producidas durante el mes de diciembre de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED (por orden alfabético)

* Práctica de Asalto a una Sesión TCP
http://www.criptored.upm.es/guiateoria/gt_m142a1.htm

* Métodos de Control y Acceso a través de Dispositivos de Almacenamiento USB
http://www.criptored.upm.es/guiateoria/gt_m142b1.htm

* Blue MAC Spoofing: El Backdoor de Bluetooth
http://www.criptored.upm.es/guiateoria/gt_m142c1.htm

* Actualización Archivo Soluciones Exámenes Seguridad Informática
http://www.criptored.upm.es/examen/e_eui_upm.htm

2. NUEVOS DOCUMENTOS y SOFTWARE FREEWARE PARA SU DESCARGA DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Noviembre de 2007
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200711.pdf

* Memorias de las VII Jornadas Nacionales de Seguridad Informática ACIS 2007
http://www.acis.org.co/index.php?id=983

* Steg Secret: Herramienta de Estegoanálisis de Propósito General y Software Libre
http://www.criptored.upm.es/software/sw_m051a.htm

* Artículo Evaluación Predicciones Seguridad Informática 2007 y Avance para 2008
http://www.virusprot.com/SeguridadInformatica-J.Cano-predicciones-2008.htm

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Enero 22 al 25 de 2008: Australasian Information Security Conference AISC 2008 (Wollongong - Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Enero 30 a Febrero 1 de 2008: Primer Foro Latinoamericano de Sistemas, Tecnologías y Comunicaciones STC (Caracas - Venezuela)
http://www.stcforo.com/evento.php

* Marzo 9 al 12 de 2008: 11th International Workshop on Practice and Theory in Public Key Cryptography (Barcelona - España)
http://www.iacr.org/workshops/pkc2008/

* Marzo 13 al 15 de 2008: 4th Workshop on Coding and Systems (Alicante y Elche - España)
http://www.dccia.ua.es/wcs2008

* Mayo 13 al 16 de 2008: Workshop in Information Security Theory and Practices WISTP 2008 (Sevilla - España)
http://wistp2008.xlim.fr/

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense - España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada - España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2007 (ordenadas por fecha de publicación)

Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#dic07

* Documento Práctica de Asalto a una Sesión TCP (Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142a1.htm

* Métodos de Control y Acceso a través de Dispositivos de Almacenamiento USB (Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142b1.htm

* Documento Blue MAC Spoofing: El Backdoor de Bluetooth (Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142c1.htm

* Primer Foro Latinoamericano de Sistemas, Tecnologías y Comunicaciones STC (Venezuela)
http://www.stcforo.com/evento.php

* 11th International Workshop on Practice and Theory in Public Key Cryptography (España)
http://www.iacr.org/workshops/pkc2008/

* Clausurado CIBSI 2007 en Mar del Plata Argentina y Presentación de CIBSI 2009 (Uruguay) Sede CIBSI 2009:
http://www.antel.com.uy/portal/hgxpp001.aspx?2,371,1192,O,S,0,MNU;E;124;8;MNU;,

* Actualización del Archivo Soluciones Exámenes Seguridad Informática EUI-UPM (España)
http://www.criptored.upm.es/examen/e_eui_upm.htm

* Informe de la Red de Sensores de INTECO del Mes de Noviembre de 2007 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200711.pdf

* CFP 6th International Workshop on Security In Information Systems WOSIS 2008 Barcelona (España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* CFP Workshop in Information Security Theory and Practices WISTP 2008 Sevilla (España)
http://wistp2008.xlim.fr/

* Memorias de las VII Jornadas Nacionales de Seguridad Informática ACIS 2007 (Colombia)
http://www.acis.org.co/index.php?id=983

* Steg Secret: Herramienta de Estegoanálisis de Propósito General y Software Libre (España)
http://www.criptored.upm.es/software/sw_m051a.htm

* Artículo Evaluación Predicciones Seguridad Informática 2007 y Avance para 2008 (Colombia)
http://www.virusprot.com/SeguridadInformatica-J.Cano-predicciones-2008.htm

* Último CFP Euro American Conference on Telematics and Information Systems (Brasil)
http://eatis.org/eatis2008/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 681
(189 universidades; 252 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 27.000 visitas, con 170.000 páginas solicitadas y 22,00 GigaBytes servidos (datos estimados el 30/12/2007) en diciembre de 2007.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

diciembre de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#dic07

martes, 8 de enero de 2008

Boletines de seguridad de Microsoft en enero

Tal y como adelantamos, Microsoft ha publicado este martes dentro de su ciclo habitual de actualizaciones los dos primeros boletines de seguridad del año (MS08-001 y MS08-002). Según la propia clasificación de Microsoft un boletín tiene el nivel de gravedad "crítico" y el otro el de "importante".

* MS08-001: Resuelve dos vulnerabilidades en la implementación TCP/IP de Windows que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario o causar una denegación de servicio. Este boletín tiene el nivel de "crítico".

* MS08-002: Existe un fallo en el Microsoft Windows Local Security
Authority Subsystem Service (LSASS) que puede permitir a un atacante la ejecución de código con privilegios elevados. Según Microsoft esta actualización es gravedad "importante".

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS08-001
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)
http://www.microsoft.com/technet/security/bulletin/MS08-001.mspx

Microsoft Security Bulletin MS08-002
Vulnerability in LSASS Could Allow Local Elevation of Privilege (943485)
http://www.microsoft.com/technet/security/bulletin/MS08-002.mspx

lunes, 7 de enero de 2008

Denegación de servicio y cross-site scripting en Apache 1.3.x, 2.0.x y 2.2.x

La Fundación Apache ha publicado varias vulnerabilidades en el servidor web Apache que podrían ser aprovechadas por atacantes remotos para provocar una denegación de servicio o perpetrar ataques de cross-site scripting. Los problemas se dan en algunos módulos y afectan a todas las ramas.

Apache es un servidor HTTP de código abierto, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

La primera vulnerabilidad está causada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. La opción no está activada por defecto.

La segunda vulnerabilidad está causada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, con el mismo efecto que la anterior.

La tercera vulnerabilidad se debe a un error también en el módulo mod_proxy_balancer, pero ésta vez al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Esto podría ser explotado por un atacante remoto para hacer que el proceso hijo afectado dejara de responder, causando así una denegación de servicio.

En las versiones en desarrollo publicadas, además se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

Los fallos están corregidos en las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, disponibles desde:
http://httpd.apache.org/download.cgi


Pablo Molina
pmolina@hispasec.com

Sergio de los Santos
ssantos@hispasec.com


Más información:

Apache httpd 1.3 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.0 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_20.html

Apache httpd 2.2 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_22.html

domingo, 6 de enero de 2008

Actualización de FreeType para Sun Solaris 8, 9 y 10

Sun ha publicado una actualización para FreeType que solventa una vulnerabilidad.

La vulnerabilidad se debe a un error de desbordamiento de enteros debido a la manera en que FreeType procesa archivos de fuentes ttf. Un atacante podría aprovechar esto para ejecutar código arbitrario a través de un archivo de fuentes especialmente manipulado.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
* Solaris 8 instalar 124420-03 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124420-03-1
* Solaris 9 instalar 116105-08 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116105-08-1
* Solaris 10 instalar 119812-05 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119812-05-1

Para x86:
* Solaris 8 instalar 124421-03 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124421-03-1
* Solaris 9 instalar 116106-07 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116106-07-1
* Solaris 10 instalar 119813-07 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119813-07-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in FreeType 2 Font Engine May Allow Privilege Escalation Due to Heap Overflow
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103171-1

sábado, 5 de enero de 2008

Múltiples vulnerabilidades en PHP 4.4.x

Se han encontrado múltiples vulnerabilidades en PHP 4.4.x, algunas de impacto desconocido, y otras que podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.

* La primera vulnerabilidad está causada por un error de desbordamiento de enteros en la función chunk_split(). Esto podría causar un desbordamiento de búfer basado en heap.

* La segunda vulnerabilidad está causada por un desbordamiento de enteros en las funciones strcspn() y strspn().

* Se ha descubierto un error al procesar los valores session_save_path y error_log y podría ser explotada por un atacante remoto para saltarse las directivas de seguridad open_basedir y safe_mode.

* Una vulnerabilidad está causada por un error en el manejo las consultas SQL que contengan LOCAL INFILE dentro de la extensión MySQL. Esto podría ser explotado por un atacante remoto para saltarse las directivas open_basedir y safe_mode.

* La última vulnerabilidad está causada por un error de regresión relacionado con la existencia de la función glob() y podría ser explotada por un atacante remoto para saltarse la directiva open_basedir.

Las vulnerabilidades están confirmadas para las versiones anteriores a la 4.4.8.

Se recomienda actualizar a la versión 4.4.8 disponible desde:
http://www.php.net/downloads.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 4.4.8 Release Announcement
http://www.php.net/releases/4_4_8.php

viernes, 4 de enero de 2008

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, ambos dedicados a su sistema operativo Windows.

Si en diciembre fueron siete boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar dos actualizaciones el día 8 de enero. Uno de los dedicados a Windows (que parece afectar a toda la gama de versiones) alcanza la categoría de "crítico" para Vista y XP aunque su severidad disminuye para las restantes versiones. El boletín estaría relacionado con una posible ejecución remota de código. El otro boletín, que afecta a todas las versiones de Windows exceptuando Vista, está catalogado como "importante" y al parecer está relacionado con una posible escalada local de privilegios.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán cinco actualización de alta prioridad no relacionadas con la seguridad.

Aunque mantiene otros frentes abiertos, es posible que en este lote se solucione alguna vulnerabilidad conocida desde hace tiempo.

A mediados de septiembre se descubrieron desbordamientos de memoria intermedia en las librerías mfc42.dll y mfc42u.dll que permitirían la ejecución de código arbitrario. Para poder aprovechar la vulnerabilidad, el atacante debería utilizar programas que hagan uso de esas funciones y le envíen parámetros, es decir, cualquier aplicación que use esa API y permita manipular el primer parámetro podría convertirse en vector de ataque.

La que parece que se queda sin resolver (no encaja con las descripciones proporcionadas sobre el nivel de importancia) es la reconocida por la propia Microsoft el 3 de diciembre. Se encontró un fallo leve en la funcionalidad Microsoft Web Proxy Auto-Discovery que podría ser aprovechado por un atacante para perpetrar ataques de man-in-the-middle. Microsoft Web Proxy Auto-Discovery (WPAD) resuelve de forma incorrecta los dominios para localizar un servidor Web Proxy. Esto podría ser aprovechado por un atacante remoto para alojar un servidor WPAD provocando que el cliente WPAD lo use inadvertidamente y resolver así hacia servidores incorrectos.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com

Pablo Molina
pmolina@hispasec.com



jueves, 3 de enero de 2008

Ejecución remota de código en RealPlayer 11

El pasado día 1 de Enero se hizo pública una demo de una vulnerabilidad, hasta entonces desconocida, descubierta en RealPlayer 11 y cuyo exploit, desarrollado por Evgeny Legerov, está disponible desde el pasado día 16 pero únicamente para sus suscriptores de pago.

La vulnerabilidad hallada en RealPlayer 11 podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario con los permisos de un usuario ejecutando la aplicación en un sistema vulnerable.

RealPlayer es empleado por millones de usuarios de Internet para reproducir archivos multimedia tanto de audio como de vídeo.

El problema está causado por un desbordamiento de búfer no especificado que se produce debido a un fallo en la comprobación de los límites de algunos datos de entrada introducidos por un usuario, antes de que sean copiados a un búfer demasiado pequeño. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario si un usuario abre un archivo especialmente manipulado con una versión vulnerable de RealPlayer.

Según numerosas fuentes, entre ellas el US-CERT que ha publicado una advertencia al respecto, existe un exploit que está siendo usado en la actualidad. El problema afecta a RealPlayer 11 (build 6.0.14.748 más concretamente) aunque otras versiones también podrían verse afectadas.

No existen soluciones ni parches disponibles por el momento. Se recomienda usar un reproductor alternativo hasta que el fabricante publique un parche para subsanar el error.


Pablo Molina
pmolina@hispasec.com


Más información:

RealPlayer 11 Unspecified Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/27091/info

0day RealPlayer 11 exploit Demo
http://gleg.net/realplayer11.html

US-CERT Current Activity: Publicly Available Exploit Code for RealPlayer
http://www.us-cert.gov/current/index.html#public_exploit_code_for_realplayer

miércoles, 2 de enero de 2008

Vulnerabilidades de cross-site scripting en ZyXEL P-330W

Se han encontrado varias vulnerabilidades en los routers ZyXEL P-330W que podrían ser aprovechado por atacantes para perpetrar ataques de cross-site scripting y peticiones falsas.

Se ha detectado que la interfaz de administración web del dispositivo se ve afectada por los siguientes problemas:

* La entrada pasada al parámetro "pngstr" en ping.asp no es debidamente saneada antes de ser devuelta al usuario.

* Varias vulnerabilidades en el dispositivo, que permite a usuarios realizar acciones a través de peticiones HTTP sin validar la identidad del usuario ni las peticiones. Esto puede ser aprovechado para cambiar la contraseña del administrador.

Se recomienda no navegar por otras páginas mientras se está dentro de la interfaz web de administración del dispositivo.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[Full-disclosure] Ho Ho H0-Day - ZyXEL P-330W multiple XSS and XSRF vulnerabilities
http://lists.grok.org.uk/pipermail/full-disclosure/2007-December/059295.html

martes, 1 de enero de 2008

Múltiples vulnerabilidades en Clam AntiVirus

Se ha anunciado la aparición de una nueva versión de ClamAV que solventa varias vulnerabilidades, algunas que podrían ser explotadas por un atacante remoto para ejecutar código arbitrario o saltarse restricciones de seguridad y otras que podrían ser aprovechadas por un atacante local para ejecutar código arbitrario. Además se ha solucionado otra problema de seguridad de impacto desconocido.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

* La primera vulnerabilidad está causada por un error de límites (off-by-one) que podría producirse si ClamAV procesa un archivo CAB comprimido con MS-ZIP que esté especialmente modificado. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario con los permisos del proceso objetivo.

* Otras vulnerabilidades están causadas porque la función cli_gentempfd() en libclamav/others.c hace uso de archivos temporales creados de una forma insegura. Esto podría ser explotado por un atacante local que conozca el nombre del archivo temporal para, aprovechando una condición de carrera, crear un enlace simbólico desde un archivo crítico del sistema a un nombre de archivo temporal, lo que causaría que ClamAV sobrescribiera el archivo enlazado.

* ClamAV no detecta de forma correcta los archivos codificados en Bse64-UU lo que provocaría que dichos archivos no pasaran por el escáner de seguridad de ClamAV.

* Se ha confirmado otra vulnerabilidad por la que un atacante local podría ejecutar Sigtool con la opción de decodificado utf16 (utf16-decode) para sobrescribir ciertos archivos en un sistema vulnerable.

* La última vulnerabilidad es de impacto desconocido y se debe a un fallo al procesar archivos comprimidos con bzip2.

Según el fabricante, las vulnerabilidades están confirmadas para las versiones anteriores a la 0.92.

Se recomienda actualizar a la versión 0.92 de Clam AntiVirus, que está disponible para su descarga desde la página web:
http://www.clamav.net/


Pablo Molina
pmolina@hispasec.com


Más información:

Clam AntiVirus Off-by-one Bug in Processing MS-ZIP Compressed CAB
Files Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2007/Dec/1019150.html

Clam AntiVirus bzip2 Vulnerability Has Unspecified Impact
http://www.securitytracker.com/alerts/2007/Dec/1019149.html

Full Disclosure: TK53 Advisory #2: Multiple vulnerabilities in ClamAV
http://seclists.org/fulldisclosure/2007/Dec/0625.html