martes, 31 de mayo de 2011

Publicada la versión estable de Python 2.5.6

Python publica la versión 2.5.6 que soluciona cuatro fallos de seguridad en distintos módulos inicialmente corregidos en la versión 2.5.6-rc1.

Python es un lenguaje de programación interpretado y multiparadigma (orientación a objetos, imperativo y funcional). Se distribuye bajo una licencia de código abierto propia, denominada Python Software Foundation License.

El primero de los fallos permite realizar un ataque XSS sobre el módulo 'SimpleHTTPServer'. El error se ha solucionado añadiendo el parámetro charset a las cabeceras Content-type. Algunos motores web, interpretaban que el método de codificación era UTF-7 que no era filtrado correctamente por "cgi.encode()" lo que permitía la inyección de JavScript.

El siguiente error solucionado se encuentra en los módulos 'urllib' y 'urllib2'. Este fallo identificado como CVE-2011-1521 se produce al no validar correctamente el lugar al que redirige una web. Un atacante podría causar una denegación de servicio o acceder a información sensible a través de una redirección hacia 'file://'.

Los dos últimos fallos se encuentra en el módulo 'audioop'. Al primero se le ha asignado el identificador CVE-2010-1634; es explotable por múltiples vectores, al no validar el tamaño correctamente. Por último el identificado como CVE-2010-2089, y se debe a filtrar inadecuadamente la longitud de las cadenas pasadas por parámetros. Ambos causan una denegación de servicio.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Python Releases News:
http://www.python.org/download/releases/2.5.6/NEWS.txt

Bug XSS SimpleHTTPServer:
http://bugs.python.org/issue11442

Patch XSS SimpleHTTPServer:
http://hg.python.org/cpython/rev/e9724d7abbc2

Bug CVE-2011-1521:
http://bugs.python.org/issue11662

Patch CVE-2011-1521:
http://hg.python.org/sandbox/guido/rev/9eeda8e3a13f

Bug CVE-2010-1634:
http://bugs.python.org/issue8674

Patch CVE-2010-1634:
http://svn.python.org/view?rev=81045&view=rev
http://svn.python.org/view?rev=81079&view=rev

Bug CVE-2010-2089:
http://bugs.python.org/issue7673

Patch CVE-2010-2089:
http://hg.python.org/cpython/rev/8bb93288db6d/

lunes, 30 de mayo de 2011

Escalada de privilegios en Symantec Backup Exec

Symantec ha anunciado un fallo de seguridad descubierto por Nibin Varghes de la empresa iViZ Security en su producto Backup Exec. Un atacante local podría elevar privilegios y potencialmente ejecutar comandos NDMP.

Symantec Backup exec es un software de copias de seguridad muy empleado en el mundo empresarial, puesto que permite realizar copias continuas disco-a-disco-a-cinta, gestionar copias de seguridad diarias y recuperar datos.

Symantec fue notificada de la posibilidad de realizar ataques de hombre en el medio contra su producto Backup exec debido a una debilidad en el protocolo empleado en la comunicación entre los diferentes agentes remotos y el servidor. La explotación del fallo permitiría a un atacante con conectividad en la red a atacar, autenticado o no, escalar privilegios y potencialmente ejecutar comandos NDMP.

Esta vulnerabilidad ha sido confirmada en las versiones 11.0, 12.5 y 12.5 de Symantec Backup Exec para servidores Windows y en las versiones 13.0, 13.0 R2 de Symantec Backup Exec 2010.

La recomendación de Symantec es la actualización de dichos productos a la versión Bacup Exec 2010 R3. Esta actualización establece una confianza entre los diferentes agentes remotos y el servidor antes de realizar la transferencia de información sensible.

Esta vulnerabilidad ha recibido el identificador CVE-2011-0546 y su CVSS (gravedad) es de 6.5 sobre 10.


Borja Luaces
bluaces@hispasec.com


Más información:

Security Advisories Relating to Symantec Products - Symantec Backup Exec Man-in-The-Middle
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110526_00

domingo, 29 de mayo de 2011

Malware para Mac. Vamos a contar mentiras (II)

Con la excusa de la reciente aparición de rogueware para Mac (algo relativamente novedoso) vamos a intentar aclarar algunos mitos con respecto al mundo del malware para Mac donde, según percibimos, campa la imprecisión, medias verdades y mitos marquetoides. Esto afecta a usuarios, casas antivirus e incluso la propia Apple.

En la anterior entrega dábamos algunos datos sobre malware para Mac y las proporciones con respecto a otros sistemas operativos. El riesgo existe, pero si no se percibe el peligro del malware en Mac y se perpetúan estos mitos es, a su vez, por varias razones.

Apple se encarga (y le interesa) que continúe así. Numerosas campañas publicitarias nada rigurosas lo demuestran. Por ejemplo, confunde al potencial cliente afirmando que, gracias a su sistema, quedará "inmune a los virus del PC". Ese "del PC" con la que termina la frase, es una afirmación que a veces es omitida por los usuarios. Y aunque fuese cierta (que no lo es, solo habría que programar en Java, entre otras posibilidades), está realizada con poco rigor técnico. La página oficial muestra mensajes como "El Mac es invulnerable a los miles de virus que amenazan a los ordenadores con Windows gracias a las defensas integradas de Mac OS X". No son miles, sino millones. Y no es gracias a las defensas, sino a una arquitectura diferente. A tenor de los datos expuestos en el boletín anterior (sobre la base de datos de VirusTotal y las muestras recogidas en los últimos 30 días):

* Malware Android: 117 muestras únicas.
* Malware Symbian: 54 muestras únicas.
* Malware para iPhone: una única muestra.

Sería como si Nokia promocionase sus terminales afirmando que Symbian es "inmune a los cientos de virus que amenazan a los terminales con Android, gracias a sus defensas integradas". Una propuesta publicitaria más honesta, describiría las características técnicas de Mac OS X para luchar contra su propio malware, no contra el de plataformas con las que no es compatible ni comparable.

Por otro lado, a muchas casas antivirus que quieren conquistar la cuota de mercado de Apple les interesa inducir "miedo" en el usuario. Esto puede percibirse como una exageración u oportunismo y, por tanto, como una falsa alarma a la que no es necesaria prestar atención. En realidad sí existe peligro, y no hay que desdeñar la opinión de las casas antivirus, aunque tengan intereses comerciales en el asunto. Como siempre, se deben observar sus apreciaciones con criterio y perspectiva.

Por último, el perfil típico de usuario de Apple tiende a "proteger" la marca. Esto puede llevarle a no ser objetivo, y "querer creer" en ciertas afirmaciones para mantener un status que suponen inquebrantable. Es uno de los mayores logros comerciales de Apple: la creación de una imagen de marca, de un "estilo" que hace que los usuarios se influyan mucho entre sí y confíen ciegamente en el producto.

En definitiva, la eterna pregunta es: ¿podemos esperar que la industria del malware tenga como objetivo mayoritario Mac OS en un futuro próximo? Es posible, pero no demasiado probable. Se lleva años hablando de lo mismo. En 2007 se vivió un repunte del malware para Mac, que no ha prosperado hasta estas fechas en que parece que vuelve a despuntar tímidamente. Una teoría es que lo único que mantiene a Mac OS fuera del circuito del malware masivo es su cuota de mercado. Otra es que las características técnicas de Mac impiden que sufra un ataque masivo como el de Windows. Pero esto no es cierto.

Si nos detenemos en los aspectos técnicos, Windows contiene cada vez más características positivas de Mac OS y Apple está cometiendo cada vez con mayor frecuencia errores que Microsoft tiene superados. Por ejemplo, la gestión de seguridad global en Microsoft (desde la programación al parcheo) se ha ido perfeccionando con el tiempo mientras que la de Apple parece que no levanta cabeza (ya dijimos en la entrega anterior que Apple, en número, sufre ya más vulnerabilidades que Microsoft).

Otro ejemplo técnico en el que cada vez se parece más, es el hecho de usar el sistema con privilegios limitados. Es una de las mejoras defensas contra el malware. Mac OS tuvo la precaución de obligar al usuario a no ser root en el sistema por defecto. Esta medida la ha adoptado Windows sólo desde Vista. Por tanto, en este sentido Windows siempre fue un objetivo sencillo. Ahora que ambos limitan los permisos del usuario por defecto, los creadores de malware se enfrentan en igualdad de condiciones a los dos sistemas operativos. Además, ciertas variantes de rogueware, que en los últimos tiempos se ha mostrado muy lucrativo, ni siquiera depende de este tipo de restricciones.

Otra ventaja para los creadores de malware es que Mac OS es un sistema relativamente homogéneo (una configuración parecida en todas sus variantes). Esto facilita la labor de programar malware que funcione correctamente en todas las versiones, como siempre ha ocurrido en Windows, donde la homogeneidad es total.

Hablaremos en una próxima entrega de ejemplos de malware concreto que ha aparecido para Mac OS en los últimos días.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

El Mac está basado en el sistema operativo más avanzado del mundo
http://www.apple.com/es/why-mac/better-os/

Malware para Mac. Vamos a contar mentiras (I)
http://www.hispasec.com/unaaldia/4599

sábado, 28 de mayo de 2011

Malware para Mac. Vamos a contar mentiras (I)

Con la excusa de la reciente aparición de rogueware para Mac (algo relativamente novedoso) vamos a intentar aclarar algunos mitos con respecto al mundo del malware para Mac donde, según percibimos, campa la imprecisión, medias verdades y mitos marquetoides. Esto afecta a usuarios, casas antivirus e incluso la propia Apple.

Aunque parezca ridículo, hay quien niega que exista malware para Mac. Incluso, quien sostiene que en Apple hacen sistemas operativos inmunes. Si bien no merece la pena desmentir este evidente bulo, sí que sería necesario aclarar un par de puntos.

Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, que juega en otra liga, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. O sea, "ahí fuera" y no en laboratorios (donde se han creado pruebas de concepto para todos los sistemas operativos) existe malware creado específicamente para Mac OS del que se lucran los atacantes.

Consultando a la base de datos de VirusTotal de los últimos 30 días (y entendiendo estos datos siempre con cierta cautela) realizaríamos la siguiente clasificación:

* Malware para Windows: 1.480.971 muestras únicas.
* Malware para Mac OS: 298 muestras únicas.
* Malware para Linux: 219 muestras únicas.
* Malware Android: 117 muestras únicas.
* Malware Symbian: 54 muestras únicas.
* Malware para iPhone: una única muestra.

Estos son muestras únicas llegadas a VirusTotal en el último mes y detectadas por más de cinco motores antivirus por firmas. Hay que tener en cuenta muchos factores como por ejemplo que las firmas para sistemas diferentes a Windows no están tan entrenadas en todos los motores, pero da una buena idea de la diferencia de órdenes de magnitud. Por ejemplo, si Windows cuenta ahora mismo con un 88% de cuota de mercado y Mac OS con un 5%, la cantidad de malware único no se ajusta en absoluto a esa proporción. El malware para Mac representa un 0,02% de las muestras únicas recibidas. En otros términos, por cada 5.000 muestras únicas de malware recibidas para Windows, se recibe sólo una destinada a Mac. Como dato adicional, la mayoría de esas casi 300 muestras son variantes de MacDefender, que se ha propagado con fuerza en los últimos días. Quizás en otros momentos los datos varíen.

El sistema móvil para el que se crea más malware es Android, con diferencia con respecto a iOS. Aquí es curioso como iOS de iPhone e iPad, siendo mucho más utilizado que Android (2,24% frente al 0,66% de uso), está por detrás en cuestión de malware. La razón es sencilla: iOS es un sistema "cerrado" donde todo el software es firmado y las descargas más o menos verificadas. Esto le libra del malware "masivo", aunque por ello pierde "flexibilidad" para el usuario. Sin embargo, tras años en el mercado, siguen existiendo vulnerabilidades en iOS para eludir su "cierre" y realizar un "jailbreak". Con cada nueva versión, intentan cerrar una puerta... pero siempre existen. Estos fallos los podría aprovechar el malware.

Ningún sistema operativo es inmune. Olvidamos que un troyano es un programa como otro cualquiera y sólo la voluntad de programarlo es lo que le separa de que se haga realidad. Lo único que diferencia al malware de cualquier otro software es que intenta instalarse silenciosamente en el equipo bien a través de la ingeniería social (engañando al usuario) bien a través del aprovechamiento de vulnerabilidades. Si hablamos de vulnerabilidades, Apple es un "experto". En 2010 Oracle y Apple superaron en número de fallos de seguridad a Microsoft. Este año Adobe también está escalando puestos. No se puede crear un programa o sistema operativo inmune a nada. Y aunque fuese posible, los atacantes aprovecharían el desconocimiento del usuario para que él mismo instalara el malware. Por tanto, no hay "escapatoria".

Continuaremos en una próxima entrega.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

Secunia: Apple software has the most holes
http://news.cnet.com/8301-13846_3-20011403-62.html

viernes, 27 de mayo de 2011

Consiguen romper CAPTCHAS de audio con un 89% de tasa de acierto

Investigadores de la Universidad de Stanford, Tulane y el INRIA han descubierto la manera de obtener un alto porcentaje de acierto al intentar averiguar el contenido de los CAPTCHA auditivos.

Los CAPTCHA, acrónimo de "Completely Automated Public Turing Test to Tell Computers and Humans Apart" (Prueba de Turing pública y automática para diferenciar máquinas y humanos), son pruebas destinadas a identificar si quien está accediendo a un contenido es una persona o por el contrario una máquina que potencialmente pueda automatizar cualquier tarea sobre dicho contenido. Estas pruebas que usualmente constan de un texto que ha sido distorsionado, están empezando a utilizar el formato de audio con ruido de fondo que pueda confundir a la máquina que intente averiguar su contenido. Esto es así porque el CAPTCHA tradicional comienza a no ser suficiente, y existen técnicas para romperlo.

Los investigadores han conseguido diseñar una herramienta capaz de eliminar el ruido de fondo presente en las pistas de audio cuando los sonidos a interpretar no se reproducen de manera continua, lo que lo hace más fácil de tratar que incluso los CAPTCHAs visuales según se afirma en el documento. Esta herramienta, que han llamado Decaptcha, tiene un funcionamiento que recuerda a otras herramientas destinadas a romper los CAPTCHAs basados en texto, puesto que en un primer procesamiento se separa el audio según la energía que sea detectada en cada momento en la onda. Acto seguido se genera una representación de los dígitos extraídos y, finalmente, estas representaciones pasan por una fase de clasificación para reconocer los dígitos. A pesar de las variaciones entre los diferentes sistemas de cada compañía (velocidad de la pronunciación, tiempo entre un dígito y otro, ruido de fondo...) siempre se mantienen los mismos patrones que no pueden ser completamente enmascarados.

Las pruebas realizadas muestran el mayor éxito en los CAPTCHAs de la web de Authorize.net (89% de acierto) y unos resultados no menos reseñables del 82% con el CAPTCHA de eBay y un 49% con el de Microsoft, llegando a obtener un nivel de acierto mayor incluso que los humanos. Estos valores son conseguidos con un entrenamiento de la herramienta utilizando apenas 300 CAPTCHAs ya solucionados y en 20 minutos, llegando a resolver de manera correcta diez CAPTHCHAs en un solo minuto de procesamiento con un simple ordenador de escritorio.

Según se afirma en el artículo publicado, actualmente todos los CAPTCHA auditivos diseñados utilizando los métodos actuales (sin ruido semántico) son inherentemente inseguros si se desea que puedan ser reconocidos por el oído humano.


Javier Rascón
jrascon@hispasec.com



jueves, 26 de mayo de 2011

Libro-PDF: Esquema Nacional de Seguridad con Tecnología Microsoft

Microsoft Ibérica publica el libro "Esquema Nacional de Seguridad con Tecnología Microsoft", también disponible en formato PDF de forma gratuita. Es un trabajo eminentemente divulgativo, dirigido a los responsables técnicos de las administraciones, encargados de cumplir los requisitos y las recomendaciones del Esquema. Igualmente se presenta como una importante guía práctica para todos aquellos que estén involucrados en el diseño y despliegue de políticas de seguridad con tecnologías Microsoft.

El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica, previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El libro está escrito por Juan Luis G. Rambla y José María Alonso Cebrián de Informática64, bajo la coordinación de Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica. En los prólogos cuenta con las aportaciones de María Garaña, Presidenta de Microsoft España; Víctor M. Izquierdo Loyola, Director General de INTECO; Fernando de Pablo, Director General para el Impulso de la Administración Electrónica del Ministerio de Política Territorial y Administración Pública; y Javier García Candau, Subdirector General Adjunto en funciones del Centro Criptológico Nacional.

La versión PDF del mismo está disponible de forma gratuita para su descarga en la siguiente dirección:
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

Índice de contenidos

Capítulo 1. Antecedentes
Capítulo 2. El Esquema Nacional de Seguridad
2.1. Principios básicos
2.2. Requisitos mínimos
2.3. Comunicaciones electrónicas
2.4. Auditoría de seguridad
2.5. Respuesta a incidentes de seguridad
2.6. Adecuación tras la entrada en vigor del ENS
2.7. Régimen sancionador
Capítulo 3. Principios de seguridad: seguridad por defecto
Capítulo 4. Dimensiones de seguridad
4.1. Disponibilidad
4.2. Autenticidad
4.3. Integridad
4.4. Confidencialidad
4.5. Trazabilidad
4.6. Niveles de la dimensión de seguridad
Capítulo 5. Medidas de seguridad. Naturaleza de las medidas
5.1. Marco organizativo
5.2. Marco operacional
5.3. Medidas de protección
Capítulo 6. La implementación del ENS con tecnología Microsoft
6.1. Control de acceso
6.1.1. Identificación
6.1.2. Requisitos de acceso
6.1.3. Segregación de funciones y tareas
6.1.4. Proceso de gestión de derechos de acceso
6.1.5. Mecanismos de autenticación
6.1.6. Acceso local
6.1.7. Acceso remoto
6.2. Explotación
6.2.1. Gestión y configuración de activos
6.2.2. Protección y prevención frente a incidencias
6.2.3. Sistemas de registros y gestión de logs
6.3. Protección de los equipos
6.4. Protección de los soportes de información
6.5. Protección de las comunicaciones
6.5.1. Perímetro seguro
6.5.2. Protección de la confidencialidad
6.5.3. Protección de la autenticidad y la integridad
6.5.4. Segregación de redes
6.5.5. Medios alternativos
6.6. Protección de las aplicaciones informáticas
6.7. Protección de la información
6.8. Protección de los servicios
6.8.1. Protección del correo electrónico
6.8.2. Protección de servicios y aplicaciones web [mp.s.2]
6.8.3. Protección frente a la denegación de servicios
6.8.4. Medios alternativos
Capítulo 7. Premios, reconocimientos y certificaciones de los productos Microsoft
Capítulo 8. Seguridad y privacidad en la nube
8.1. Seguridad y privacidad: un proceso integral y continuo
8.2. Sistemas de gestión de Microsoft y control de acceso
8.3. Eventos y actividades de registro
8.4. Certificados estándar de cumplimiento
8.5. Guía de cliente para políticas de cumplimiento
8.6. Data centers, procesador y controlador de datos




Más información:

Esquema Nacional de Seguridad. Texto consolidado RD 3_2010
http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146

Esquema Nacional de Seguridad con Tecnología Microsoft
http://blogs.technet.com/b/hectormontenegro/archive/2011/05/25/esquema-nacional-de-seguridad-con-tecnolog-237-a-microsoft.aspx

Descarga PDF - Esquema Nacional de Seguridad con Tecnología Microsoft
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

miércoles, 25 de mayo de 2011

Vulnerabilidad de Cross-Site Scripting en IBM WebSphere Portal

Se ha anunciado una vulnerabilidad en IBM WebSphere Portal, que podría permitir a usuarios maliciosos construir ataques de cross-site scripting.

El problema reside en el centro de búsqueda ("Search Center") debido a que no trata adecuadamente las entradas antes de ofrecer los resultados al usuario. Esto podría permitir a un atacante lograr la ejecución de código script arbitrario en el navegador del usuario, en el contexto del sitio afectado.

IBM ha confirmado la vulnerabilidad en IBM WebSphere Portal versión 7.0.0.1 sobre AIX, IBM i, Linux, Solaris, Windows y z/OS. Se ha publicado la actualización CF004 disponible desde http://www.ibm.com/support/docview.wss?uid=swg24029452
Esta actualización además corrige un gran número de problemas relacionados con la funcionalidad del producto.


Antonio Ropero
antonior@hispasec.com


Más información:

Fixes integrated in WebSphere Portal V7.0.0.1 Combined Cumulative Fixes
http://www.ibm.com/support/docview.wss?uid=swg24029452

martes, 24 de mayo de 2011

phpMyAdmin 3.4.1 soluciona dos fallos de seguridad

Se ha publicado la nueva versión de phpMyAdmin que soluciona dos vulnerabilidades.

PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

Estos dos errores son ocasionados por no filtrar correctamente los parámetros recibidos en las peticiones web.

El primero está identificado como CVE-2011-1940, y se trata de un fallo de Cross Site Scripting a través del nombre de una tabla. Al mostrar el nombre de la tabla en la aplicación, no se filtra correctamente el texto, lo que permite inyectar código HTML y/o JavaScript.

El segundo de los problemas solucionados, identificado como CVE-2011-1941, permite generar una URL que redirija a cualquier lugar. Este error permitiría a un atacante redirigir a quienes visitan el enlace hacia una ubicación arbitraria, lo que permitiría su uso para ataques de phishing o falsificación.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

PMASA-2011-4:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-4.php

PMASA-2011-3:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-3.php

lunes, 23 de mayo de 2011

Actualización del kernel para SuSE Linux Enterprise 10

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP4 en la que se corrigen 17 vulnerabilidades de diverso alcance.

Los problemas corregidos están relacionados con diferentes tipos de particiones (LDM, OSF y Mac), compartidos CIFS, dispositivos TPM, tablas de particiones erróneas, el módulo IrDA, los drivers Radeon GPU, el driver para interfaces MIDI, los drivers para Yamaha YM3812 y chips OPL-3, la función sctp_rcv_ootb en la implementación SCTP, además de diversos problemas en el tratamiento de la memoria del kernel.

Los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio, o ejecución de código arbitrario.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2011:026)
http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00007.html

domingo, 22 de mayo de 2011

Denegación de servicio a través de los controladores Intel 10 Gigabit Ethernet 82598 y 82599

Intel ha publicado una actualización de los controladores de los dispositivos Intel 10 Gigabit Ethernet 82598 y 82599 que solucionan un problema de seguridad.

El fallo, del que no se han dado a conocer detalles específicos, podría permitir a un atacante remoto causar una denegación de servicio a través del envío de un paquete especialmente manipulado.

Las actualizaciones publicadas están disponibles para la plataforma Windows y se pueden encontrar en el apartado de más información.

Los adaptadores afectados para Intel 10 Gigabit Ethernet 82598 son:

* E10G42AFDA (Dual SFP+ Copper)

* E10G41AT2 (Single RJ45 Copper)

* EXPX9502CX4 (Dual CX4 Copper)

* EXPX9501AFXSR (Single SR Fiber)

* EXPX9502AFXSR (Dual SR Fiber)

* EXPX9501AFXLR (Single LR Fiber)

Los adaptadores afectados para Intel 10 Gigabit Ethernet 82599 son:

* X520-DA2 (Dual SFP+ Copper)

* X520-T2 (Single RJ45 Copper)

* X520-SR1 (Single SR Fiber)

* X520-SR2 (Dual SR Fiber)

* X520-LR1 (Single LR Fiber)


Fernando Ramírez
framirez@hispasec.com


Más información:

Intel Ethernet 82598 and 82599 10 Gigabit Ethernet Controller Denial of Service.
http://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00028&languageid=en-fr

Actualización
http://downloadcenter.intel.com/SearchResult.aspx?lang=eng&ProductFamily=Ethernet+Components&ProductLine=Ethernet+Controllers&ProductProduct=Intel%c2%ae+82599+10+Gigabit+Ethernet+Controller&ProdId=3189

sábado, 21 de mayo de 2011

Denegación de servicio en Novell eDirectory

Se ha anunciado una vulnerabilidad en Novell eDirectory versiones 8.8.5 (y anteriores) por la que un usuario remoto puede provocar condiciones de denegación de servicio en los sistemas afectados.

Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros.

El problema reside en un error en el demonio LDAP SSL al procesar paquetes específicamente construidos, provocando la caída del demonio afectado o incluso del sistema, creando una condición de denegación de servicio.

Se recomienda la actualización a Novell eDirectory versión 8.8 SP5 Patch 6:
http://download.novell.com/protected/Export.jsp?buildid=bXPFv5btgsA~


Antonio Ropero
antonior@hispasec.com


Más información:

eDirectory 8.8 SP5 Patch6 for NetWare
http://download.novell.com/Download?buildid=bXPFv5btgsA~

viernes, 20 de mayo de 2011

Múltiples vulnerabilidades en Cisco Unified Operations Manager

Cisco ha publicado una actualización para Cisco Unified Operations Manager que corrige diversos fallos de seguridad que podrían permitir que un atacante conseguir acceso a información sensible, manipular datos o ejecutar código script.

Se han identificado múltiples vulnerabilidades en Cisco Unified Operations Manager (CUOM), que pueden ser empleadas para inyectar código script o consultas SQL. Los problemas se deben a errores de validación de entradas en "ServerHelpEngine", "PRTestCreation.do", "TelePresenceReportAction.do" y otros scripts, que pueden emplearse para construir ataques de cross site scripting y de inyección SQL.

Los usuarios de Cisco pueden conseguir actualizaciones para estos problemas a través de Software Center en: http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Unified Operations Manager Multiple Cross-Site Scripting Vulnerabilities
http://tools.cisco.com/security/center/viewAlert.x?alertId=23085

Cisco Unified Operations Manager SQL Injection Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=23086

Cisco Unified Operations Manager Common Services Device Center Cross-Site Scripting Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=23087

jueves, 19 de mayo de 2011

Ejecución de código en Opera

Existe una vulnerabilidad en el navegador Opera que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario en el contexto del navegador.

Opera es un navegador web gratuito (no de código abierto) ampliamente utilizado por usuarios de todo tipo de sistemas operativos (Linux, Windows, Mac OS X, etc.) y de multitud de dispositivos móviles.

La compañía ha confirmado un fallo de seguridad en su navegador, del que no han especificado detalles. Sólo se ha comentado que se trata de una vulnerabilidad existente debido a un error al procesar framesets cuando una página es descargada. Recalcan que para la ejecución de código es necesario utilizar "técnicas adicionales".

La vulnerabilidad ha sido reportada de manera anónima a través del programa de divulgación responsable de SecuriTeam.

Esta vulnerabilidad ha sido corregida en la versión 11.11 de este software. Se recomienda actualizar a través de las opciones del navegador, o desde www.opera.com


Alejandro J. Gómez López
agomez@hispasec.com


Más información:

Advisory: Frameset issue allows execution of arbitrary code
http://www.opera.com/support/kb/view/992/
http://www.opera.com/docs/changelogs/windows/1111/

miércoles, 18 de mayo de 2011

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir once vulnerabilidades críticas en Adobe Flash Player versión 10.2.159.1 y anteriores (Adobe Flash Player 10.2.154.28 y anteriores para usuarios de Chrome) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.2.157.51 y versiones anteriores para Android.

Las vulnerabilidades pueden provocar la caída de la aplicación, y potencialmente permitir a un atacante tomar el control de los sistemas afectados. Adobe confirma la existencia de malware que intenta explotar una de las vulnerabilidades (con CVE-2011-0627) "in the wild"; mediante un archivo flash (.swf) incrustado en documentos Word o Excel distribuidos a través de correo.

Adobe recomienda a los usuarios de Adobe Flash Player Windows, Macintosh, Linux, y Solaris la actualización a la versión 10.3.181.14, disponible desde:
http://get.adobe.com/flashplayer/
A los usuarios de Adobe Flash Player 10.1.92.10 para Android actualizar a la versión 10.3.185.21 desde Android Market:
market://details/?id=com.adobe.flashplayer
Los usuarios de Google Chrome se recomienda actualizar a la versión 11.0.696.68 desde
http://googlechromereleases.blogspot.com/


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb11-12.html

martes, 17 de mayo de 2011

Robo de credenciales en Android

Investigadores de la Universidad de Ulm (Alemania), han descubierto un fallo en el protocolo utilizado por algunas aplicaciones para autenticarse en ciertos servicios de Google. El problema podría permitir a un atacante remoto tener acceso a los servicios Calendar, Picassa y la lista de contactos de Google de dispositivos Android.

Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google. Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.

El fallo descubierto se encuentra en el protocolo que usa ClientLogin, utilizado por otras aplicaciones para identificarse en los servicios de Google a través de un token de autenticación (authToken) que tienen validez durante el período de dos semanas. ClientLogin obtiene este token enviando a Google el nombre de la cuenta y la contraseña. Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo SSL. Sin embargo, cuando una aplicación desea identificarse ante Google, las peticiones que contienen este token son enviadas sobre conexiones HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se encuentre capturando tráfico en la misma red local. Habitualmente Android se conecta a través de redes inalámbricas, y si esa red no usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería equivalente a enviar las credenciales en texto plano.

Este fallo de seguridad está presente en Android 2.3.3 y versiones anteriores. Google ha subsanado el error en la versión 2.3.4, por lo que sería recomendable actualizar a esta versión. Sin embargo, el principal problema ahora es que los usuarios de Android actualicen realmente su versión para no ser vulnerables. Esta responsabilidad suele dejarse en manos del fabricante del terminal, que personaliza las versiones del sistema operativo. Por tanto, es necesario estar al tanto de la actualización de cada fabricante de teléfonos y esto podría demorarse un tiempo indefinido.

Mientras tanto, se recomienda no usar Android en redes inalámbricas no cifradas o en las que no se confíe.


Javier Rascón
jrascon@hispasec.com



lunes, 16 de mayo de 2011

Denegación de servicio en Tor

Existe un error en Tor que podría ser aprovechado por un atacante para causar una denegación de servicio en un "directory authority" de forma remota.

Tor es una de las redes más utilizadas para mantener la privacidad de los usuarios que la utilizan. Se trata de una red de túneles virtuales que permiten a sus usuarios comunicarse en Internet de manera anónima, además de poder proporcionar anonimato a servidores. Esto se consigue gracias a que las comunicaciones pasan a través de diversos servidores que se encargan de cifrar la información, también llamados capas, evitando de esta manera que pueda ser conocido el origen de la conexión.

La vulnerabilidad descubierta tiene su origen en un error de comprobación de límites en la función 'policy_summarize' del archivo 'src/or/policies.c'. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio en un "directory authority". Los descubridores de la vulnerabilidad no han indicado la forma concreta para explotar dicho problema.

La vulnerabilidad ha sido subsanada en la versión 0.2.1.30, que, entre otros cambios, también incluye una ligera modificación del inicio de las comunicaciones del protocolo TLS con los relays y puentes para que éstos sean accesibles desde países como Irán, que rastrean a los usuarios de la red y se encargan de poner trabas a estas conexiones.


Javier Rascón
jrascon@hispasec.com


Más información:

Tor 0.2.1.30 is released
https://lists.torproject.org/pipermail/tor-announce/2011-February/000000.html

domingo, 15 de mayo de 2011

Piden investigar a Dropbox por mentir en su cláusula de seguridad

Dropbox se ha visto obligada a rectificar sus cláusulas de seguridad, al demostrarse que no protege adecuadamente los ficheros de los usuarios, o al menos, no como anunciaba inicialmente la empresa en su web.

Dropbox es un servicio online de hospedaje de ficheros "en la nube" ampliamente utilizado (25 millones de usuarios), que gracias al análisis previo del hash permite ahorrar espacio: si se intenta subir un fichero cuyo hash ya esté presente en Dropbox (en la cuenta de otro usuario por ejemplo), el sistema simplemente enlaza con él sin tener que subirlo de nuevo. La seguridad de Dropbox se basa en el cifrado AES256 con clave creada y albergada en sus propios servidores.

Según se deriva de la queja formal alzada a la Comisión Federal de Comercio (FTC) de los EEUU por parte del investigador Christopher Soghoian, Dropbox mintió a los usuarios cuando anunciaba su servicio como totalmente cifrado y, según anunciaban, "sin acceso interno de la empresa al contenido de los mismos".

A medida que se hacía pública la información Dropbox ha ido modificando las cláusulas de información sobre el cifrado:

En un principio, se anunciaba: "All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password." (Todos los ficheros almacenados en los servidores Dropbox están cifrados con AES256 y son inaccesibles sin la contraseña de la cuenta).

Luego, en abril fue modificado a un simple: "All files stored on Dropbox servers are encrypted (AES 256)." (Todos los ficheros almacenados en los servidores de Dropbox están cifrados con AES256).

Más tarde: "Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents)". (Los empleados de Dropbox no tienen acceso a los ficheros de usuarios, y cuando se estudian las cuentas, solo tiene acceso a metadatos y no al contenido de ficheros).

Ahora, la web dice: "Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations)". (Los empleados 'tienen prohibido' acceder al contenido de los ficheros y sólo pueden inspeccionar a los metadatos de sus cuentas (nombres y rutas de ficheros).

Y advierten además que: Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). ("Como la mayoría de servicios online, contamos con un pequeño número de empleados que tienen acceso total a los datos del usuario por razones establecida en nuestra política de seguridad (por ejemplo cuando sean legalmente requerido))".

En la investigación también se advierte que su servicio Mobile no utiliza un canal SSL a la hora de enviar los archivos al contrario de lo que se pudiera entender por la publicidad de Dropbox.

Estas rectificaciones de Dropbox han motivado el intento de Soghoian para que la FTC investigue a la empresa por su dudosa política de seguridad y que consiga que advierta correctamente al usuario del verdadero nivel de la misma.

Hasta que se aclare el asunto, la única solución posible para asegurar totalmente los datos es cifrarlos localmente a la hora de subirlos a Dropbox o utilizar directamente servicios alternativos como SpiderOak o Wuala.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Dropbox Lied to Users About Data Security, Complaint to FTC Alleges
http://www.wired.com/threatlevel/2011/05/dropbox-ftc/

Petición de investigación a la FTC PDF:
http://files.cloudprivacy.net/dropbox%20ftc%20complaint%20-%20final.pdf

sábado, 14 de mayo de 2011

De incógnito en la botnet IncognitoRAT



Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero han dado muestras de no saber asegurar sus servidores... de forma que hemos descubierto que se pueden obtener los datos de los supuestos compradores del kit.

Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows... Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3... sino sobre todo, su curioso recelo comercial... que parece que no han cuidado demasiado.

El cliente de este kit para crear y gestionar botnets, y al contrario que otros, exige presentarse en la red de la propia "compañía" que comercializa la herramienta (TeamHAVOC).

En la pestaña de "Request Auth" se requiere una autenticación basada en contraseña y además en dos parámetros HWID. Parece tratarse de un hash único por máquina en base al hardware y no puede ser modificado. El número de transacción puede tratarse del código que identifique el haber realizado el pago (para que los creadores originales sepan que eres un comprador legítimo del kit). El resto de datos son de control general de la botnet.

Cuando se envía esa información, el programa se conecta con Gmail para mandar un correo. Se supone que, con los datos introducidos, se pondrá en contacto con los creadores para validar la compra y la cuenta. Este es un movimiento curioso. Habitualmente los creadores de estas herramientas piden dinero por ellas, pero no controlan de esta forma al comprador (con identificadores de hardware, etc) y así, quien se tope con una herramienta comprada por otro, podría usarla sin problemas. No es este el caso. Es necesario que el servidor de TeamHAVOC esté activo e incluso usar el cliente en una misma máquina siempre, como consecuencia de los HWID.

En la otra pestaña, en la que se supone que uno se presenta cuando ya tiene usuario y contraseña validados (TeamHAVOC se asegura que has pagado), es donde se revela el fallo cometido por los programadores.

El cliente de la herramienta valida los datos recopilados durante la presentación del usuario contra su propio servidor (incognitorat.com). El supuesto error cometido es que los archivos son texto claro y con un formato propio. Sería como "ver" la base de datos de clientes que han comprado el kit para crear botnets.



Y a partir de ahí, se puede llegar hasta unos paquetes de software. Se trata de actualizaciones para la herramienta.

Las máquinas infectadas suelen contactar con puertos en torno al 400-500 de los servidores. Por ejemplo, "telnet riskygambler.no-ip.org 457" responde con un protocolo que en principio, no he identificado.

Supongo que eliminarán pronto el acceso a esos datos (aunque sean falsos o inútiles, no dan buena imagen). Si son reales, se concluye que el producto ha tenido un éxito relativo, pues solo se observan cuatro cuentas activas y que el "gestor de autenticación" en el servidor no es muy eficaz. En la base de datos de VirusTotal encontramos pocas referencias a estas herramientas (sí a los infectores). Al menos por firmas los antivirus parecen no detectarlo demasiado. Incluso, esos archivos que cuelgan del servidor, todavía no han sido enviados a VirusTotal en el momento de escribir estas líneas.

En conclusión, resulta interesante el método de validación de compra que utiliza esta red, aunque después de programar una herramienta tan compleja, han fallado en lo más sencillo. En cualquier caso, no sabemos si los datos de los usuarios serán ciertos, o si se trata de simples pruebas que no han eliminado.

En el apartado de más información se describe cómo se comunica con el servidor y se aportan más imágenes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

De incógnito en la botnet IncognitoRAT
http://blog.hispasec.com/laboratorio/379

IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad
http://www.seguridadapple.com/2011/05/incognitorat-un-malware-multiplataforma.html

viernes, 13 de mayo de 2011

Salto de restricciones en Oracle GlassFish Enterprise Server

Oracle GlassFish Server presenta un fallo de autenticación en su Consola de Administración que permitiría a un atacante remoto acceder mediante peticiones TRACE.

Oracle GlassFish Server es uno de los motores J2EE libres más importantes y, junto a JBOSS, de los más extendidos y utilizados por la comunidad.

El fallo permitiría que un atacante sin autenticar consiguiera el acceso a ciertas secciones restringidas de la consola.

Por defecto el servidor GlassFish tiene activado el modo HTTP TRACE. Si un atacante enviara al puerto de escucha TCP 4848 una petición de recurso mediante el método TRACE, recibiría en el cuerpo de la respuesta el propio recurso solicitado, como si hubiera hecho una petición GET al mismo.

De esta forma tendría acceso al visor de sucesos, información sobre la versión JVM y componentes instalados, e incluso a las configuraciones de las conexiones JDBC y contraseña de la base de datos.

El CVE asignado a esta vulnerabilidad es el CVE-2011-1511.

Para solucionar dicha vulnerabilidad los usuarios de la rama 3.x deben actualizarse a la versión 3.1 y para julio de 2011 estará libre la concerniente a la rama 2.x.

Se recomienda además, si no es necesario, desactivar el modo TRACE desde la consola de administración: "Network Config, Protocols, admin-listener, HTTP" y desactivar la casilla: "Trace: Enable TRACE operation"


José Mesa Orihuela
jmesa@hispasec.com


Más información:

GlassFish Server Open Source Edition - 3.1 Final
http://glassfish.java.net/downloads/3.1-final.html

Oracle GlassFish Server Administration Console Authentication Bypass
http://www.coresecurity.com/content/oracle-glassfish-server-administration-console-authentication-bypass

jueves, 12 de mayo de 2011

Envenenamiento de resultados en Google Imágenes

Según ha informado el SANS desde hace varias semanas se están recibiendo informes relacionados con el buscador de imágenes de Google. Ofrece resultados que terminan redirigiendo a páginas de falsos antivirus. Nada nuevo, pero que está siendo especialmente insidioso y elaborado en estos días.

La infraestructura necesaria para llevar acabo esta campaña está haciendo uso de páginas webs comprometidas para alojar el contenido que se encargará del envenenamiento de los resultados. Las páginas atacadas son principalmente las que utilizan Wordpress vulnerables. En ellos suben scripts que se encargan de generar de manera automática un contenido artificial (simulado, inútil) que hará que los usuarios del buscador sean llevados a las páginas fraudulentas. Estas páginas constan de dos partes principales: la que es indexada por Google Imágenes y la que se encarga de redirigir finalmente a la víctima a otra página web con el contenido fraudulento.

El contenido que será indexado por el buscador de imágenes es creado en base a los términos más buscados en Google Imágenes, para así asegurarse que pueda llegar a la mayor cantidad de personas posible. Para ello hace uso de una herramienta de la misma compañía del buscador, Google Trends. Por ejemplo, se crea contenido artificial sobre Bin Laden, si se detecta que es de los términos más buscados en el momento. Además, también se encargan de buscar imágenes relacionadas con los términos adecuados (fotografías del personaje, por ejemplo), apareciendo así en la lista de resultados del buscador de imágenes.

Los atacantes comprueban en esas páginas (a través de la IP o el UserAgent) si lo que les visita es un bot de Google (los encargados de indexar páginas web para incluirlas en el buscador) y se encargan de ofrecer el contenido preciso que les llevará a aparecer arriba en las búsquedas.

El resto del contenido de la página es el que se encarga de redireccionar a los usuarios del buscador hacia páginas fraudulentas cuando son visitadas. Google Imágenes ofrece resultados afines a la consulta realizada mostrando una lista de miniaturas de los resultados. Tras pulsar sobre una miniatura perteneciente a uno de estos sitios comprometidos, Google lleva al usuario a la página que aprovecha el fallo. Se trata de la conocida página con la miniatura de la imagen seleccionada en el centro, los enlaces a la imagen y, de fondo, la página final que contiene la fotografía. Ahora es cuando el navegador, al realizar la petición de la página que formará parte del fondo y que está comprometida, ejecuta el script que ha sido incrustado en la página atacada (aunque no esté siendo visitada "del todo"). Es el propio script el que ha comprobado previamente, mediante el campo 'Referer' de la petición, que ésta proviene de la página de búsqueda de imágenes de Google. En ese momento redirige a la víctima a otras páginas fraudulentas, que, en esta última oleada contienen falsos antivirus (rogue). Por tanto, el usuario no debe ni siquiera visitar completamente la página comprometida, solo ver alguna fotografía en Google Imágenes a la que ha sido vinculada.

Google está tomando medidas con respecto a esta técnica, eliminándolo los enlaces o informando del peligro de acceder a los mismos. Sin embargo, la cantidad de este tipo de resultados en el buscador es demasiado grande como para poder decir que el asunto se encuentra bajo control (medio millón de visitas cada día según estimaciones del investigador Denis Sinegubko, un reputado investigador de rogueware).

Desde el SANS indican que una de las mejores opciones para protegerse es evitar la ejecución de código JavaScript de páginas en las que no se confíe, a través de, por ejemplo, complementos como 'NoScript' disponible para Mozilla Firefox o las zonas de Internet Explorer.


Javier Rascón
jrascon@hispasec.com


Más información:

More on Google image poisoning
http://isc.sans.edu/diary/More+on+Google+image+poisoning/10822

Scammers Swap Google Images for Malware
http://krebsonsecurity.com/2011/05/scammers-swap-google-images-for-malware/

miércoles, 11 de mayo de 2011

Fallo de seguridad en OpenID

Se ha descubierto un fallo en la extensión 'Attribute Exchange' de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.


Javier Rascón
jrascon@hispasec.com


Más información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

martes, 10 de mayo de 2011

Boletines de seguridad de Microsoft en mayo

Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (el MS11-035 y el MS11-036) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad "crítico", mientras que el otro se clasifica como "importante". En total se han resuelto tres vulnerabilidades.

Los boletines publicados son:

* MS11-035: Actualización "crítica" destinada a resolver una vulnerabilidad en el Servicio de Nombres Internet de Windows (WINS). La vulnerabilidad podría permitir la ejecución remota de código en un sistema afectado que ejecute el servicio WINS si un usuario recibe un paquete de réplica de WINS especialmente diseñado. Afecta a Windows Server 2003 y 2008.

* MS11-036: Se trata de una actualización "importante" destinada a solucionar dos vulnerabilidades en Microsoft Power Point. Afecta a Microsoft Office XP, Office 2003 y 2007; y Office 2004 y 2007 para Mac.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de mayo de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-may.mspx

lunes, 9 de mayo de 2011

Vulnerabilidades de desbordamiento de búfer en Sybase M-Business Anywhere

Se han anunciado múltiples vulnerabilidades de en Sybase M-Business Anywhere 6.7 y 7.0, que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario en los sistemas afectados.

Los problemas residen en un desbordamiento de búfer en el tratamiento de la etiqueta 'password' de SOAP específicamente construida enviada a los puertos 8093 y 8094. Otro desbordamiento de búfer basado en 'heap' en 'agd.exe' en el tratamiento de datos enviados a los puertos TCP 80 y 443.

Un último desbordamiento de búfer basado en 'heap' en 'agsync.dll', explotable a través del envío del nombre de usuario específicamente creado a los puertos TCP 80 y 443.

Sybase ha publicado actualizaciones (6.7 ESD# 2 y 7.0 ESD# 6) para evitar estos problemas, disponibles desde http://downloads.sybase.com/.


Antonio Ropero
antonior@hispasec.com


Más información:

Urgent from Sybase: Possible security vulnerabilities in M-Business Anywhere 6.7 and 7.0.
http://www.sybase.com/detail?id=1093029

domingo, 8 de mayo de 2011

Denegación de servicio a través de consultas RRSIG en ISC BIND 9

El Internet Systems Consortium (ISC), patrocinador del servidor DNS más usado, BIND, informa sobre una vulnerabilidad encontrada en la rama 9 del producto. Aunque matiza que dicha vulnerabilidad únicamente afecta a usuarios que utilicen la característica RPZ.

Normalmente, los servidores de nombres configurados para usar recursividad reenvían sus respuestas al servidor que origina la respuesta. RPZ (Response Policy Zones) es un mecanismo implementado por BIND 9.8.0 para modificar en los servidores de nombres recursivos las respuestas de acuerdo a un conjunto de reglas definidas local o remotamente (importadas de un servidor en el que se confíe).

Para utilizar RPZ, BIND debe ser compilado con las opciones "--enable-rpz-nsip" o "--enable-rpz-nsdname". Esto permite utilizar la directiva "response-policy" en la configuración. Puede ser utilizado para reemplazar el Resource Record Set (RRset). Se trata el conjunto de todos los registros para un tipo concreto (A, MX, NS...) para un dominio. Por ejemplo RRSIG es un registro de firma utilizado en DNSSEC.

Cuando se utiliza RPZ, una consulta de tipo RRSIG para un nombre que haya sido configurado a través de las políticas RPZ para que se reemplace su RRset, hará que el servidor deje de responder.

Actualmente no se conocen exploits que se aprovechen de esta vulnerabilidad aunque sí es cierto que algunos validadores DNSSEC envían legítimamente consultas del tipo RRSIG, pudiendo causar la denegación de servicio.

Como solución, ISC aconseja evitar el uso de RPZ para realizar reemplazos RRset.

A esta vulnerabilidad se le ha asignado el CVE-2011-1907.


Sergio de los Santos
ssantos@hispasec.com


Más información:

RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones
https://www.isc.org/CVE-2011-1907

sábado, 7 de mayo de 2011

Ejecución de código en Exim

Se ha corregido una grave vulnerabilidad en Exim que podría permitir a un atacante ejecutar código arbitrario en el sistema afectado.

Exim es un servidor de correo electrónico de fuente abierta, muy popular en el mundo Unix. Exim es el servidor de correo por defecto de la distribución Debian GNU/Linux. Comenzó a desarrollarse en 1995 en la Universidad de Cambridge de manos de Philip Hazel. Al comienzo de su desarrollo se basó en el código de otro servidor de correo denominado Smail 3. Aunque el proyecto iba destinado para uso interno de la Universidad, su popularidad comenzó a extenderse y hoy es un servidor con gran presencia en la red, rivalizando con Sendmail, Postfix y otros.

El fallo se debe a un error en la especificación de formato de cadena dentro de la función dkim_exim_verify_finish del archivo src/dkim.c a la hora de manejar firmas DKIM. Un atacante remoto podría llegar a provocar una denegación de servicio y potencialmente ejecutar código arbitrario si envía un correo con la cabecera "DKIM-Signature:" especialmente manipulada.

No se ha hecho público ningún exploit, aunque se cree que no sería complicado crearlo. El fallo afecta a toda la rama 4.7 anterior a 4.76 RC1, puesto que el soporte para DKIM se introdujo en la versión 4.70.

Los usuarios de Debian Squeeze y Sid ya tienen un paquete disponible para corregir el error (a través de las herramientas apt).

Para parchear Exim directamente, es posible acudir a:
https://lists.exim.org/lurker/message/20110506.112357.e99a8db1.en.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Exim bugzilla ? Bug 1106
http://bugs.exim.org/show_bug.cgi?id=1106

viernes, 6 de mayo de 2011

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado siete boletines de seguridad (del MFSA2011-12 al MFSA2011-18) para solucionar 18 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

Según la propia clasificación de Mozilla cuatro de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "moderado" y un último considerado como "bajo".

Los boletines publicados son:

* MFSA 2011-12: Boletín crítico, que corrige diez problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2011-13: Considerado crítico. Tres vulnerabilidades relacionadas con el tratamiento incorrecto de punteros.

* MFSA 2011-14: Boletín moderado, por una vulnerabilidad de robo de información a través del historial de formularios.

* MFSA 2011-15: Vulnerabilidad crítica de escalada de privilegios a través de Java Embedding Plugin (JEP) incluido en OS X.

* MFSA 2011-16: Boletín de gravedad moderada por una vulnerabilidad de escalada de directorios.

* MFSA 2011-17: Dos vulnerabilidades críticas en WebGLES.

* MFSA 2011-18: De gravedad baja, una vulnerabilidad en la función generate-id() de XSLT devuelve una cadena que puede revelar la dirección de un objeto en la memoria.

Se han publicado las versiones 4.0.1, 3.6.17 y 3.5.19 del navegador Firefox, la versión 3.1.10 de Thunderbird y la 2.0.14 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:

http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2011-18 XSLT generate-id() function heap address leak
http://www.mozilla.org/security/announce/2011/mfsa2011-18.html

MFSA 2011-17 WebGLES vulnerabilities
http://www.mozilla.org/security/announce/2011/mfsa2011-17.html

MFSA 2011-16 Directory traversal in resource: protocol
http://www.mozilla.org/security/announce/2011/mfsa2011-16.html

MFSA 2011-15 Escalation of privilege through Java Embedding Plugin
http://www.mozilla.org/security/announce/2011/mfsa2011-15.html

MFSA 2011-14 Information stealing via form history
http://www.mozilla.org/security/announce/2011/mfsa2011-14.html

MFSA 2011-13 Multiple dangling pointer vulnerabilities
http://www.mozilla.org/security/announce/2011/mfsa2011-13.html

MFSA 2011-12 Miscellaneous memory safety hazards (rv:2.0.1/ 1.9.2.17/1.9.1.19)
http://www.mozilla.org/security/announce/2011/mfsa2011-12.html

jueves, 5 de mayo de 2011

Microsoft publicará dos boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 10 de mayo dos boletines de seguridad, correspondientes a los boletines MS11-035 y MS11-036, con un número indeterminado de vulnerabilidades.

El primer boletín de seguridad, está calificado como crítico y afecta a los sistemas operativos Windows Server 2003 y Windows Server 2008.

El segundo boletín de seguridad, está calificado como importante y afecta a la familia Office.

Este mes Microsoft anuncia mejoras en su explicación en cada boletín del "Explotability index". Se trata de un valor introducido desde octubre de 2008 que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Sin embargo, Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft update,Windows Server Update Services, y centro de descarga. Como curiosidad, también este mes se ha publicado una segunda actualización fuera de ciclo de las firmas de Malicious Software Removal Tool para combatir la botnet Afcore.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4576/comentar


José Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for May 2011
http://www.microsoft.com/technet/security/bulletin/ms11-may.mspx

19/10/2008: Activar los killbits y el índice de explotabilidad, novedades en los boletines de Microsoft
http://www.hispasec.com/unaaldia/3648

miércoles, 4 de mayo de 2011

Actualización de HP OpenView Storage Data Protector

HP ha publicado actualizaciones para corregir hasta nueve vulnerabilidades críticas en el software HP OpenView Storage Data Protector (versiones 6.0 a 6.11).

HP OpenView Storage Data Protector es un producto para el manejo y realización de copias de seguridad multiplataforma.

Las vulnerabilidades tienen asignados los cve CVE-2011-1728 a CVE-2011-1736 y podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. Afecta únicamente a entornos Windows, y ocho de ellas han sido calificadas con un valor de 10 (el máximo) según las métricas CVSS 2.0.

HP proporciona la versión 6.20 de Data Protector para resolver estas vulnerabilidades. Que pueden descargarse desde: http://hp.com/go/dataprotector


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02668 SSRT100474 rev.1 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02810240

martes, 3 de mayo de 2011

Lección 7 de intypedia: Seguridad en aplicaciones web

Se encuentra disponible en el servidor Web de intypedia la séptima lección de la Enciclopedia de la Seguridad de la Información: "Seguridad en aplicaciones web. Introducción a las técnicas de inyección SQL": http://www.intypedia.com.

Esta lección cuenta con la autoría de Chema Alonso, Consultor de Seguridad en Informática 64, Microsoft MVP Enterprise Security.

El vídeo tiene una duración de 15:46 minutos y está formado por 4 escenas o capítulos:

Escena 1. Arquitectura básica de una aplicación web. Incidentes de seguridad
Escena 2. Inyección de código en aplicaciones web
Escena 3. Técnicas de inyección a ciegas
Escena 4. Evitando las técnicas de inyección. Mitigación

La lección viene acompañada por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión de la lección, las diapositivas de apoyo y los ejercicios para autoevaluación.

En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta séptima lección.

La siguiente entrega para el mes de junio de 2011 de la enciclopedia visual de la seguridad de la información corresponde a la Lección 8: Protocolo de reparto de secretos, de autor Dr. Luis Hernández Encinas, Consejo Superior de Investigaciones Científicas de Madrid CSIC.


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/



lunes, 2 de mayo de 2011

Salto de restricciones en ZyXEL ZyWALL

Han sido publicadas dos vulnerabilidades que permiten eludir restricciones de seguridad en varios modelos ZyWALL de ZyXEL.

La serie ZyWALL son appliances que proporcionan diferentes soluciones, medidas y servicios de seguridad para proteger los sistemas de una red.

La primera de las vulnerabilidades, se encuentra en la autenticación de ciertas rutas cuando se accede al portal de administración web. Algunos paths, como '/images/', no requieren de autorización para acceder a ellas. Un fallo en la configuración empleada para ejecutar los CGI en Apache, permite eludir la autenticación requerida para correr estos scripts CGI si se añaden estas rutas en la URL.

El segundo de los errores se encuentra en la validación usada en 'export-cgi'. Un atacante autenticado con permisos "limited-admin", podría elevar privilegios modificando el valor de la variable JavaScript 'isAdmin' y estableciéndolo a "true".

Se han publicado pruebas de concepto que permiten aprovechar estos errores.

Estos errores han sido solucionados por ZyXEL y pueden descargarse el firmware desde
http://www.zyxel.com/support/download_library/product/smb_security_7.shtml?utm_campaign=NL1104UK-tech_X1_Important-Patch-Release-Announcement-for-ZyWALL-USGs


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Advisory:
http://www.redteam-pentesting.de/en/advisories/rt-sa-2011-003/-authentication-bypass-in-configuration-import-and-export-of-zyxel-zywall-usg-appliances

http://www.redteam-pentesting.de/en/advisories/rt-sa-2011-004/-client-side-authorization-zyxel-zywall-usg-appliances-web-interface

Oficial news:
http://news.zyxel.ch/inxmail/jsp/archive-uk.jsp?mail=3995&w=display

domingo, 1 de mayo de 2011

Nuevos contenidos en la Red Temática CriptoRed (abril de 2011)

Breve resumen de las novedades producidas durante el mes de abril de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE ABRIL DE 2011
* Lesson 6 Malware (Bernardo Quintero, 12.56 minutos)
http://www.intypedia.com/?lang=en

2. NUEVOS VÍDEOS DE LA CÁTEDRA UPM APPLUS+ EN EL MES DE ABRIL DE 2011
Seminario Wikileaks: el valor de la información
* Wikileaks y la verdad, Ignacio Escolar, primer director y periodista del diario Público, 21.13 minutos
http://www.youtube.com/watch?v=axzj3EzjKL4
* Y Wikileaks entró en El País, Joseba Elola, periodista del diario El País, 19.21 minutos
http://www.youtube.com/watch?v=AvtBr5JK_cE
* Una buena noticia para el periodismo, una lección para los medios, Juan Luis Sánchez, editor de periodismohumano.com, 14.55 minutos
http://www.youtube.com/watch?v=5yj3zeeME10
* Wikileaks, ¿ejemplo de ciberguerra social?, Javier Pagès, consultor en seguridad y forensia informática, 26.30 minutos
http://www.youtube.com/watch?v=EMsX4xrvWaU
diapositivas:
http://www.criptored.upm.es/descarga/CasoWikileaksEjemploCiberguerraSocial.pdf
* Coloquio Wikileaks: el valor de la información. Participan Ignacio Escolar, Joseba Elola, Juan Luis Sánchez y Javier Pagès; modera Justo Carracedo, 1.01.18 horas
http://www.youtube.com/watch?v=1I2z5YYm73g

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE ABRIL DE 2011
* Informe Seguridad en Sitios Web (INTECO-CERT, España)
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridadwebsites.pdf
* Guía sobre Almacenamiento y Borrado Seguro de Información del Observatorio de la Seguridad de la Información (INTECO, España)
http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_borrado_seguro
* Primer Informe Trimestral del año 2011 de la Red de Sensores sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/Informe_Primer_Trimestre_2011.pdf
* Informe de la Red de Sensores del mes de marzo de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201103.pdf

4. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Mayo 5 de 2011: Novena edición del Asegúr@IT (Málaga - España)
* Mayo 12 al 13 de 2011: IV edición Workshop Internacional Foundations & Practice of Security FPS 2011 (París - Francia)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security (Nerja - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Junio 15 al 17 de 2011: XI Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)
* Junio 15 al 18 de 2011: 6a Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2011 (Chaves - Portugal)
* Junio 21 de 2011: The First International Workshop on Information Systems Security Engineering - WISSE'11 en (Londres - Reino Unido)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Agosto 29 a septiembre 2 de 2011: 3er Workshop de Seguridad Informática (Córdoba - Argentina)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE ABRIL DE 2011
* Curso de Seguridad Telemática 2011 en la Universidad de Vigo (España)
* Último CFP para el 3er Workshop de Seguridad Informática WSegI 2011 dentro de las Jornadas Argentinas de Informática (Argentina)
* Presentación de la Segunda Edición del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC (España)
* Lanzamiento de la III Encuesta Latinoamericana de Seguridad de la Información (Colombia - Argentina - Uruguay)
* III Encuentro de Seguridad Integral SEG2 de Red Seguridad en Madrid (España)
* IV Jornada de Seguridad de la Información en la Industria Financiera en UCEMA (Argentina)
* Tercer y último Call For Papers para el Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Colombia)
* CFP para First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Grecia)
* CFP para Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (España)
* Vídeos del seminario Wikileaks: el valor de la información (España) y Jornadas Internacionales sobre Wikileaks (Latinoamérica)
* Curso ejecutivo de preparación del examen de certificación CGEIT en abril y mayo en Madrid (España)
* Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica de Bellaterra (España)
* Novena edición de Asegúr@IT de Informática64 en Málaga el 5 de mayo de 2011 (España)
* Convocada la XV edición de los Premios Protección de Datos Personales de la Agencia Española de Protección de Datos (España)
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#abr11

6. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 870
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 34.170 visitas, con 109.930 páginas solicitadas y 31,25 Gigabytes servidos en abril de 2011, descargando 20.388 archivos zip/pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 8.724 reproducciones en abril de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

7. CIBSI 2011, Buracamanga, Colombia.
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/