lunes, 30 de abril de 2012

Oracle TNS Poison: solucionada (4 años después) grave vulnerabilidad remota en Oracle DB


Oracle ha solucionado una grave vulnerabilidad remota (CVE-2012-1675) reportada en 2008 por el investigador y auditor de software Joxean Koret (@matalaz), que afecta a todas las versiones de Oracle Database (desde 8i hasta la versión 11g R2). La vulnerabilidad permitiría controlar el tráfico cliente-servidor y modificarlo, a través de un ataque MITM. Oracle soluciona el fallo tras una importante polémica en la que se ha evidenciado su pobre gestión de la seguridad.
 
La vulnerabilidad reside en el servicio TNS Listener, encargado de gestionar el establecimiento de las comunicaciones entre las distintas instancias de la base de datos, sus servicios y el cliente. Por diseño y sin requerimiento de autenticación, cuando se procesa el registro de dos o más instancias de base de datos con el mismo nombre, el TNS Listener crea automáticamente un balanceador de carga entre todos los servidores de base de datos registrados. Por tanto, cualquier otro servidor que se añada a posteriori recibirá de manera prioritaria el tráfico de cualquier otro cliente de la red.

Ese error de diseño, definido por defecto en las bases de datos de Oracle, genera que para esa nueva instancia añadida, se cree un cluster de tipo Oracle RAC o una instancia Oracle Fail over. Estos actúan como balanceadores y procesan todo el tráfico posterior.

La llamada exacta encargada de la conexión y que no requiere de autenticación sería:

COMMAND=SERVICE_REGISTER_NSGR

En el momento que se le responda con un nombre de servicio que ya esté registrado, por ejemplo: 'ORCL11' el atacante sólo tendría que ir registrando la instancia continuamente, cerrando el socket anterior de la conexión, para así hacer creer al sistema que se trata de un registro legítimo de un balanceador de carga. Al ser el último en registrarse, será a su vez el primero en recibir el tráfico de cliente.

El ataque por tanto, se basaría en 'enrutar' de manera eficiente ese tráfico hacia una máquina especialmente manipulada para recibirlo, procesarlo y devolver en su caso las respuestas necesarias a la víctima. Según el ataque, se conseguiría capturar más del 50% del tráfico establecido entre clientes y servidor, funcionando sólo como sniffer de red (TNS proxy). Si se procediera a la inyección arbitraria de código, tendríamos además el control total de las posibles víctimas que pasaran por nuestro proxy, reenviándoles SQL queries especialmente manipuladas o apoderándonos de la sesión de usuario y haciéndonos pasar por usuarios legítimos frente al servidor.

Para ello, se proporciona una prueba de concepto (sniffer) que permite inspeccionar las llamadas realizadas entre el cliente y el servidor de Oracle DB y como ilustración, existe un video que demuestra la vulnerabilidad:


La polémica

Uno de los aspectos más curiosos de este fallo es cómo ha salido a la luz. Joxean Koret reportó la vulnerabilidad hace cuatro años (aunque probablemente lleve ahí desde 1999). En el último lote de parches, Joxean fue mencionado como uno de los colaboradores al que se le daba crédito por corregir un fallo. Cuando Joxean escribió a Oracle para saber qué fallo descubierto por él había sido corregido (ha reportado varios), se le confirmó que era este. Ante este panorama, Koret publicó todos los detalles técnicos del problema, pensando que ya estaba corregido.

Habiendo recibido un correo bastante "subrealista" por parte del equipo de seguridad de Oracle, decidió continuar con la comunicación. En el correo Oracle afirmaba que "the vulnerability was fixed in future releases of the product", lo que no tiene sentido (fue corregida en futuras versiones).

Koret, dispuesto a llegar al final del asunto, preguntó de forma directa y simple si se había corregido o no el fallo, a lo que Oracle continuó respondiendo con frases hechas y excusas sin sentido. Finalmente, se confirmó que, aunque Oracle lo había afirmado en su lote de parches, en realidad este gravísimo fallo no había sido corregido.

Tras la polémica, finalmente Oracle ha roto su ciclo de actualizaciones para publicar un CVE y un parche.

Más información:

Oracle Security Alert for CVE-2012-1675

Oracle TNS Poison vulnerability is actually a 0day with no patch available

The history of a -probably- 13 years old Oracle bug: TNS Poison

CVE-2012-1675 Oracle Database TNS Poison 0Day Video Demonstration

Oracle Database TNS Listener Poison Attack (2008)



José Mesa Orihuela


Sergio de los Santos
Twitter: @ssantosv


domingo, 29 de abril de 2012

Nuevos troyanos Spyeye orientados exclusivamente a entidades de Panamá y Honduras


Existen decenas de miles de versiones de Spyeye que atacan a cientos de entidades bancarias. Pero en nuestro laboratorio no habíamos visto aún una muestra orientada exclusivamente a bancos de Latinoamérica. Hasta ahora, estas entidades han sido atacadas por troyanos mucho más simples, pero parece que ya han entrado en el peligroso circuito de los troyanos más sofisticados.

Las nuevas versiones de Spyeye funcionan de la siguiente manera: Cuando un usuario infectado se presenta en la página de su entidad bancaria en línea, el troyano modifica la web. Se inyecta en el navegador (Firefox e Internet Explorer) y cambia el resultado que se muestra a la víctima, de forma que aparece, por ejemplo, un formulario solicitando todas las coordenadas de su tarjeta. Para ello, los atacantes han debido estudiar previamente la página legítima para saber dónde colocar los nuevos elementos.

El usuario no ha sido víctima de un phishing o un pharming (ataques para los que están más acostumbrados), sino que se encuentra en la web real de su banco. Las credenciales robadas irán a parar a un servidor web centralizado del atacante, donde recopilará toda la información a través de una cómoda interfaz.

Los bancos americanos y europeos han sido tradicionalmente los más atacados por este tipo de muestras. Hasta ahora, quizás para los atacantes de América Latina era suficiente con troyanos mucho más simples, como los típicos keyloggers, modificadores de hosts, etc. Sin embargo, esta muestra localizada ataca en concreto a cuatro entidades (lo que también llama la atención por ser un número muy bajo. Lo normal es que afecten a más de una docena). Tres de los bancos son panameños y el último, de Honduras.


La muestra analizada además presenta algunas curiosidades con respecto al Spyeye tradicional. Por ejemplo, usa un nombre de directorio diferente. Si bien suele crear un directorio en la raíz C: llamado $recycle.bin$, este directorio se llama C:\Recys.Bin.

Otra curiosidad es que esta versión no depende de un archivo de configuración que sea descargado. Si bien sí que lo descarga, la configuración que contiene los bancos que debe atacar se encuentra incrustada en el propio código del binario, lo que no es habitual.

Por último, destacar que toda su infraestructura está basada en dominios con nombres en castellano de contenido sexual, pero de nacionalidad rusa. Así, podemos encontrar varios dominios donde se aloja la infraestructura tales como ojosxxx.ru y putitas.ru.


Laboratorio Hispasec

sábado, 28 de abril de 2012

Nueva versión de PHP corrige dos vulnerabilidades


Recientemente el equipo de desarrollo de PHP ha publicado las actualizaciones para las ramas 5.3 y 5.4 de PHP que solucionan dos vulnerabilidades que pueden ser aprovechadas para evadir restricciones de seguridad y llevar a cabo ataques de inyección SQL.

La primera vulnerabilidad afectaba a las versiones 5.3 y 5.4 (CVE-2012-1172) y fue descubierta por Neal Poole. Debido a una validación insuficiente, un script PHP que aceptase múltiples subidas de archivos en una misma petición podría corromper los índices del array $_FILES (que maneja información de las subidas de archivos) y provocar el acceso a directorios no autorizados por parte de un atacante remoto usando nombres de archivos especialmente modificados.

La segunda vulnerabilidad sólo afectaba a la versión 5.3 (CVE-2012-0831). Durante la importación de variables de entorno no se realiza correctamente un cambio temporal de la directiva 'magic_quotes_gpc'. Esto hace fácil a un atacante remoto llevar a cabo inyecciones de código SQL en el sistema vulnerable a través de una petición especialmente diseñada para ello.

PHP insta a actualizar cuanto antes a las nuevas versiones  5.3.11 y 5.4.1 desde http://www.php.net/downloads.php

Más información:

PHP 5.3.11 And PHP 5.4.1 Released!


Daniel Vaca

viernes, 27 de abril de 2012

Grave fallo de seguridad en Hotmail permitía el robo de cuentas

Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio. Repasamos algunos de los grandes fallos de seguridad de Hotmail.

Kunz avisó el 6 de abril a Microsoft del grave problema. El token usado para proteger la sesión de restablecimiento de contraseña se podía eludir usando valores como "+++)-" puesto que solo comprobaba si estaba vacío para cerrar o bloquear la sesión. El resultado es que se podía secuestrar cualquier cuenta de Hotmail.

Unos días antes, un atacante de origen saudita vendía en foros underground acceso a contraseñas de terceros por 20 euros. Parece que no se tomó muy en serio su aviso, hasta que el equipo de Microsoft comprobó que el descubrimiento de Kunz y ciertos incidentes detectados días antes y relacionados con el robo de cuentas muy atractivas (por ejemplo xxx@hotmail.com) coincidían. Tanto el investigador como el atacante había descubierto el fallo de manera independiente, pero uno lo estaba usando en su propio beneficio y otro alertó inmediatamente a Microsoft. El 21 de abril ya se había corregido el problema, y el 26 se ha hecho público.

Otros fallos

Siempre ha existido el timo del robo de contraseñas de Hotmail. Los atacantes engañan a usuarios que, al final, acaban con sus cuentas robadas. Pero sí es cierto que han existido puntualmente maneras de comprometer las cuentas de este servicio. Resumimos algunos incidentes relacionados con Hotmail y el robo de cuentas o graves fallos de seguridad.

En julio de 1999, Georgi Guninski descubrió un medio por el que se puede conseguir robar la contraseña del usuario que se desee. Descubriría todavía algún otro método más durante el año. En agosto dos sitios web, uno en el Reino Unido y otro en Suecia, permitían acceder a cualquier cuenta de Hotmail conociendo su nombre de usuario, sin necesidad de suministrar la contraseña. www.lettera.net, el popular webmail ya desaparecido, sufriría el mismo problema meses después. En agosto de 1999 se descubrió uno de los mayores "problemas de seguridad de la historia de Internet", puesto que cualquier podía entrar en la cuenta de cualquiera en Hotmail, usando la contraseña "eh.".

En mayo de 2000, cuando Hotmail contaba con 50 millones de usuarios, se descubrió otra forma de robar con JavaScript la cuenta de cualquier usuario que abriese un fichero HTML adjunto. Hoy cuenta con 364 millones de usuarios.

En agosto de 2001, debido a un uso indebido de números de sesión correlativos, se programó una manera de leer, uno a uno, los correos de cualquier usuario.

También en 2001, Hotmail presentó graves deficiencias en la detección de virus. McAfee, el motor antivirus con que contaba el sistema de webmail de Microsoft, llevaba 6 meses sin actualizar sus firmas. Cientos de muestras de malware quedaron  potencialmente indetectadas. McAfee culpó a Microsoft de no mostrar interés en la actualización. La relación entre el antivirus y Hotmail se degradaría hasta que a finales de 2004, Microsoft optaría por usar Trend Micro en Hotmail, y prescindir de McAfee.

Más información:

Microsoft MSN Hotmail - Password Reset & Setup Vulnerability


José Ignacio Palacios Ortega

Sergio de los Santos
Twitter: @ssantosv


jueves, 26 de abril de 2012

Solucionadas tres vulnerabilidades en Asterisk

Se han corregido tres vulnerabilidades en Asterisk, que podrían permitir a atacantes remotos provocar denegaciones de servicio o ejecutar código arbitrario.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los fallos solucionados (CVE-2012-2414), identificado por Digium como AST-2012-004 afecta a todas las versiones de Asterisk. Un usuario remoto autenticado de la interfaz de administración "Asterisk Manager" podrá evitar comprobaciones de seguridad y lograr ejecutar comandos "shell".

La segunda de las vulnerabilidades (con CVE-2012-2415) reside en un desbordamiento de búfer basado en heap, al tratar datos KEYPAD_BUTTON_MESSAGE específicamente creados. Un atacante remoto autenticado podría aprovechar este problema para ejecutar código arbitrario en los sistemas afectados. Digium ha identificado este fallo, que afecta a las versiones 1.6.2.x, 1.8.x y 10.x, como AST-2012-005

Por último, identificado como AST-2012-006 (y CVE-2012-2416), se ha anunciado un problema que reside en el tratamiento de peticiones SIP UPDATE específicamente creadas. Este fallo afecta a las versiones 1.8.x y 10.x, así como a Asterisk Business Edition C.3.x y podría permitir a un atacante remoto autenticado provocar condiciones de denegación de servicio.

Para corregir estos problemas Digium ha publicado las versiones Asterisk Open Source 1.6.2.24, 1.8.11.1 y 10.3.1, así como Asterisk Business Edition C.3.7.4.

Más información:

Asterisk Project Security Advisory - AST-2012-004
Asterisk Manager User Unauthorized Shell Access

Asterisk Project Security Advisory - AST-2012-005
Heap Buffer Overflow in Skinny Channel Driver

Asterisk Project Security Advisory - AST-2012-006
Remote Crash Vulnerability in SIP Channel Driver




Antonio Ropero
Twitter: @aropero

miércoles, 25 de abril de 2012

La fundación Mozilla publica 14 boletines de seguridad para sus productos

La Fundación Mozilla ha publicado 14 boletines de seguridad (del MFSA 2012-20 al MFSA 2012-33) que solucionan 33 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).


Atendiendo al sistema de clasificación de la propia fundación, siete boletines solucionan vulnerabilidades con un impacto considerado como "crítico", cuatro son considerados "alto" y los tres restantes son calificados como "moderados".

Los boletines críticos son:
  • MFSA 2012-20: Dos vulnerabilidades de corrupción de memoria.
  • MFSA 2012-21: 19 vulnerabilidades en FreeType v2.4.9.
  • MFSA 2012-22: Uso después de liberar en IDBKeyRange.
  • MFSA 2012-23: Ejecución remota de código por una corrupción de "heap" en gfxImageSurface.
  • MFSA 2012-25: Corrupción de memoria en el tratamiento de fuentes al usar cairo-dwrite.
  • MFSA 2012-30: Problema en WebGL al usar textImage2D
  • MFSA 2012-31: posible ejecución de código a través de OpenType Sanitizer.

Los boletines clasificados con un impacto alto son:

  • MFSA 2012-24: XSS al procesas algunos juegos de caracteres multibyte.
  • MFSA 2012-26: Lectura ilegal de memoria de vídeo a través de WebGL.drawElements por un error en FindMaxUshortElement.
  • MFSA 2012-27: XSS por un corto-circuito al cargar determinadas páginas.

Y finalmente los boletines clasificados con un impacto moderado son:
  • MFSA 2012-28: Salto de restricciones de control de acceso en determinadas direcciones IPv6.
  • MFSA 2012-29: Potencial XSS a través de problemas de decodificación ISO-2022-KR/ISO-2022-CN
  • MFSA 2012-32: Lectura de redirecciones http y contenido remoto a través de errores javascript.

Todos estos problemas ha sido corregidos en Firefox 12.0, Firefox ESR 10.0.4, Thunderbird 12.0, Thunderbird ESR 10.0.4 y SeaMonkey 2.9, disponibles desde:

Más información:

MFSA 2012-33 Potential site identity spoofing when loading RSS and Atom feeds

MFSA 2012-32 HTTP Redirections and remote content can be read by javascript errors

MFSA 2012-31 Off-by-one error in OpenType Sanitizer

MFSA 2012-30 Crash with WebGL content using textImage2D

MFSA 2012-29 Potential XSS through ISO-2022-KR/ISO-2022-CN decoding issues

MFSA 2012-28 Ambiguous IPv6 in Origin headers may bypass webserver access restrictions

MFSA 2012-27 Page load short-circuit can lead to XSS

MFSA 2012-26 WebGL.drawElements may read illegal video memory due to FindMaxUshortElement error

MFSA 2012-25 Potential memory corruption during font rendering using cairo-dwrite

MFSA 2012-24 Potential XSS via multibyte content processing errors

MFSA 2012-23 Invalid frees causes heap corruption in gfxImageSurface

MFSA 2012-22 use-after-free in IDBKeyRange

MFSA 2012-21 Multiple security flaws fixed in FreeType v2.4.9

MFSA 2012-20 Miscellaneous memory safety hazards (rv:12.0/ rv:10.0.4)

martes, 24 de abril de 2012

Oracle publica por descuido una prueba de concepto para MySQL

Oracle, actual propietario del software de base de datos MySQL publicó en marzo una serie de actualizaciones para la base de datos MySQL. En el boletín se anunció que se solventaban dos fallos de seguridad.

Los parches de seguridad publicados, que corrigen los errores #13510739 y #63775, carecían (y carecen de manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a pesar del escrúpulo por mantener esta información secreta, se les escapó un detalle a la hora de generar el paquete de actualización. Dentro del código fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo que a primera vista parecía ser un archivo destinado a la realización automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo comprobar que se trataba de una prueba de concepto que conseguía provocar una denegación de servicio en el sistema de base de datos.

Según puede deducirse del código fuente, para poder explotar esta vulnerabilidad es necesario estar autenticado en el sistema y poseer los permisos necesarios para ejecutar ciertos comandos.

Las versiones afectadas por la vulnerabilidad son todas las anteriores a MySQL 5.5.22.

Más información:

Oracle accidentally release MySQL DoS proof of concept

D.1.3. Changes in MySQL 5.5.22 (21 March 2012)

MySQL Bug 13510739



Javier Rascón Mesa


lunes, 23 de abril de 2012

Nuevo keylogger para Android basado en el movimiento del teléfono

Un grupo de investigadores de la Universidad del Estado de Pennsylvania e IBM han desarrollado una prueba de concepto que consiste en un keylogger que obtiene sus datos a partir de los sensores de movimiento presentes en cualquier dispositivo Android.


Los sensores de movimiento son usados habitualmente en los móviles para determinar el comportamiento de la pantalla y programas según la posición y el movimiento del dispostivo físico. Consisten en acelerómetros, giroscopios y sensores de orientación. En principio, parece que esta información recopilada por el teléfono (velocidad, movimientos...) no puede llegar a ser relevante, y por eso actualmente no existe en Android ningún tipo de control de medida de seguridad sobre los datos que pueden ser obtenidos mediante estos métodos. Esto es lo que ha motivado la idea de crear un troyano basado en ellos. Además, en el caso de que este troyano fuese llevado a la práctica, los permisos requeridos a la hora de instalarse no levantarían apenas sospechas.

El troyano, que ha sido bautizado como TapLogger, debe ser entrenado previamente en dos frentes: cada dispositivo tiene su propio peso, proporciones de pantalla... variables que afectan a la forma de pulsar cada tecla y además, el troyano requiere un entrenamiento propio para cada usuario, porque existen diferencias entre la forma de pulsar de cada persona. Para acelerar el proceso de aprendizaje, el troyano simula ser un juego en el que hay que pulsar sobre diferentes imágenes para unir las parejas. La posición de los iconos a pulsar, está estratégicamente calculada para coincidir con la de las teclas del dispositivo. Para obtener unos datos más exactos, el keylogger escucha a los eventos Motion.Event.ACTION DOWN y Motion.Event.ACTION UP, que delimitarán el inicio y fin de la recogida de los datos de los acelerómetros, que a continuación serán utilizados en el aprendizaje del algoritmo de la aplicación.

En la siguiente imagen obtenida del estudio de Zhi Xu, pueden verse los resultados inferidos tras 32 pulsaciones. Se encuentran en amarillo los botones pulsados, y, en cada botón, aparece el número de veces que el troyano ha inferido que ha sido pulsado cada uno.


Puede verse que hay ciertas teclas cuyo nivel de aciertos es menor, como es el caso del número 5, que se encuentra en una posición difícil de estudiar. Otras teclas, como la de borrado ('del') resultan también en bastantes falsos positivos. Debido a su poco uso, el algoritmo tiene problemas para detectar o descartar si ha sido pulsada o no. A la hora de deducir la contraseña, si de cada pulsación se toman las dos teclas con más probabilidad de haber sido pulsadas, y dependiendo de la longitud de la clave, se pueden llegar a obtener niveles de acierto del 60% al 92,5%. Estos valores aumentan hasta el 80%-100% si se toman las tres teclas con más probabilidad de haber sido pulsadas.

No es la primera vez que se diseña un troyano de estas características. En 2011 apareció TouchLogger, una aplicación para Android que tenía en cuenta un menor número de variables y no incluía entrenamiento, entre otras muchas diferencias. Más tarde, el mismo año, aparecería otra para iPhone, que hacía uso del acelerómetro y el giróscopo para averiguar qué palabras habían sido pulsadas en un teclado cercano teniendo en cuenta, a grandes rasgos, si se había pulsado una tecla "de la izquierda" del teclado o "de la derecha".

Más información:

TapLogger

Georgia Tech Turns iPhone Into spiPhone

TouchLogger: Inferring Keystrokes On Touch Screen From Smartphone Motion TouchLogger

 
Javier Rascón Mesa

domingo, 22 de abril de 2012

Vulnerabilidades en OwnCloud


El investigador Lukas Kupczyk ha descubierto dos vulnerabilidades en OwnCloud que permitirían la ejecución de código arbitrario y averiguar el token de restablecimiento de la contraseña.

OwnCloud es un software open source destinado al almacenamiento de ficheros, contactos, calendarios, etc. en la nube creado por los desarrolladores de KDE. Su objetivo es que pueda ser instalado por cualquiera en su propia máquina sin depender de un tercero. Se ofrece una amplia variedad de funcionalidades, como el streaming, sincronización automática, copias de seguridad...

La vulnerabilidad de ejecución de código se debe a una falta de comprobación de los nombres de los archivos subidos al servidor. Un atacante podría enviar un archivo '.htaccess' a su carpeta de usuario, que tendría preferencia ante los permisos definidos en el archivo '.htaccess' que se encuentra en una carpeta superior. Se ha añadido en la nueva versión parcheada una lista negra de nombres de ficheros que se comprueba antes de subir cualquier archivo al servidor.

El segundo problema encontrado, está relacionado con la generación de los tokens utilizados para reiniciar la contraseña de un usuario. El código encargado de crear el token se basaba en funciones que devolvían un valor fácilmente predecible. El error ha sido corregido al añadir una función que devuelve un número realmente aleatorio.

Su descubridor ha creado un módulo de Metasploit que permite explotar ambas vulnerabilidades. Se han confirmado para la versión 3.0.1 y, posiblemente, las anteriores. Los errores se encuentran corregidos en las versiones posteriores a la 3.0.1.

Más información:

Commits:





Javier Rascón Mesa


sábado, 21 de abril de 2012

Desbordamiento de memoria en OpenSSL

Se ha publicado en la página de OpenSSL un aviso donde se anunciaba el descubrimiento y correspondiente publicación del parche a un desbordamiento de memoria intermedia basada en el heap en OpenSSL.

OpenSSL es un conjunto de herramientas de software libre desarrolladas para implementar los protocolos Secure Sockets Layer (SSL v2/v3) y Transport Layer Security (TLS v1), además de una gran cantidad de herramientas criptográficas.

La vulnerabilidad, a la que le ha sido asignado el CVE-2012-2110, aparece a la hora de leer datos en formato DER, presente, entre otros, en certificados X.509 y claves públicas RSA. Un atacante remoto podría enviar a la víctima, por ejemplo, una clave o certificados especialmente manipulados, para así causar una denegación de servicio y, potencialmente, ejecutar código arbitrario.

Concretamente, el fallo se debe a la realización de un casting de una variable C 'signed float' a otra 'signed int' en la función 'asn1_d2i_read_bio'. La conversión de un valor real a otro entero implica truncar el valor de la primera, dando lugar a un desbordamiento de memoria. Para poder explotar de manera correcta la vulnerabilidad, la víctima debería encontrarse ejecutando un sistema operativo de 64 bits.

Su descubridor, el investigador del grupo de seguridad de Google, Tavis Ormandy reportó junto a sus compañeros tanto la vulnerabilidad descubierta como el parche a aplicar. La comunidad encargada del desarrollo de OpenSSL ha subsanado el error, publicando las versiones 0.9.8v, 1.0.1a, y 1.0.0i de OpenSSL.

Más información:

OpenSSL Security Advisory [19 Apr 2012]

[Full-disclosure] incorrect integer conversions in OpenSSL can result in memory corruption.


Javier Rascón Mesa


viernes, 20 de abril de 2012

Grupo de parches de abril para múltiples productos Oracle


Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 88 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
  • Oracle Application Server 10g Release 3, versión 10.1.3.5.0
  • Oracle BI Publisher, versiones 10.1.3.4.1, 10.1.3.4.2
  • Oracle DB UM Connector for Oracle Identity Manager, Versión 9.1.0.4
  • Oracle Identity Manager 11g, versiones 11.1.1.3, 11.1.1.5
  • Oracle JDeveloper, versión 10.1.3.5.0
  • Oracle JRockit versiones, R28.2.2 y anteriores, R27.7.1 y anteriores
  • Oracle Outside In Technology, versiones 8.3.5, 8.3.7
  • Oracle WebCenter Forms Recognition, versión 10.1.3.5
  • Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
  • Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
  • Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, versión 11.5.10.2
  • Oracle Agile, versión 6.0.0
  • Oracle AutoVue versión 20.0.2
  • Oracle PeopleSoft Enterprise CRM, versión 9.1
  • Oracle PeopleSoft Enterprise HCM, versión 9.1
  • Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
  • Oracle PeopleSoft Enterprise FCSM, versiones 9.0, 9.1
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52
  • Oracle PeopleSoft Enterprise Portal versión 9.1
  • Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
  • Oracle Siebel Life Sciences, versiones 8.0.0, 8.1.1, 8.2.2
  • Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.3.0-5.3.4, 6.0.1, 6.2.0
  • Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0, 11.0.0-11.4.0
  • Primavera P6 Enterprise Project Portfolio Management, versiones 6.2.1, 8.0, 8.1, 8.2
  • Oracle Sun Product Suite
  • Oracle MySQL Server, versiones 5.1, 5.5

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* 12 nuevas vulnerabilidades corregidas en Oracle Database Server. Siete de los problemas corregidos son explotables remotamente sin autenticación.

* Otras 11 vulnerabilidades afectan a Oracle Fusion Middleware. Nueve de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle JRockit, Oracle Outside In Technology, Oracle WebCenter Forms Recognition, Identity Manager, BI Publisher (formerly XML Publisher), Identity Manager Connector y Oracle JDeveloper.

* Seis parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión cuatro de las vulnerabilidades podrían ser utilizadas por un atacante remoto sin autenticar. El componente afectado es Enterprise Manager Base Platform.

* Cuatro nuevas vulnerabilidades afectan a Oracle Applications, todas ellas explotables de forma remota sin autenticación. Los componentes afectados son Oracle Application Object Library y Oracle iStore.

* 15 de las vulnerabilidades afectan a la suite de productos Oracle Sun. Cinco de estas nuevas vulnerabilidades son explotables de forma remota sin autenticación. Ocho de los problemas afectan al propio Solaris, otros componentes afectados son Oracle Grid Engine, GlassFish Enterprise Server, Oracle iPlanet Web Server y los servidores SPARC Enterprise M Series.

* Esta actualización también incluye 5 parches de seguridad para Oracle Supply Chain Products Suite, otras 15 para productos Oracle PeopleSoft, dos para Oracle Industry Applications, 17 para Oracle Financial Services Software y una para la suite de productos Oracle Primavera.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2012

Más información:

Oracle Critical Patch Update Advisory - April 2012


Antonio Ropero
Twitter: @aropero

jueves, 19 de abril de 2012

Tercera lección del Curso “El Algoritmo RSA” en el Aula Virtual Crypt4you: Cifrado de números y mensajes


Se encuentra disponible en el Massive Open Online Course MOOC de Crypt4you la tercera lección del curso El Algoritmo RSA, dedicado al cifrado de números y mensajes. Podrá encontrarla como lección destacada en la sección En portada dentro del sitio Web de este proyecto: http://www.crypt4you.com

O bien desde el acceso directo de la lección en el curso:

En esta tercera lección del curso se analiza la cifra de números y mensajes con RSA, sabiendo que esta última cifra de mensajes es sólo un ejercicio de laboratorio, en tanto que al ser estos algoritmos muy lentos comparados con la cifra simétrica o de clave secreta, en la práctica sólo se usan para cifrar pequeños números de unas centenas de bits. Comienza con una breve introducción del algoritmo de intercambio seguro de clave de Diffie y Hellman para luego usar el algoritmo RSA en dicho intercambio, comparando además ambos sistemas.

Apartados de la Lección 3:
Apartado 3.1. El intercambio de clave de Diffie y Hellman
Apartado 3.2. Implementación del intercambio de clave con RSA
Apartado 3.3. Cifrando mensajes con RSA
Apartado 3.4. Test de evaluación de la Lección 3
Apartado 3.5. Estadísticas de la Lección RSA03

La próxima entrega de este curso, la Lección 4 sobre Claves privadas y públicas parejas, se publicará a finales de la primera semana del mes de mayo.


Jorge Ramió, Alfonso Muñoz
Equipo Crypt4you

miércoles, 18 de abril de 2012

Nueva versión de Apache HTTP Server

Apache acaba de presentar la última actualización de su rama 2.4, en concreto, se ha publicado la versión 2.4.2.

Apache HTTP Server es el software para servidores HTTP multiplataforma más utilizado en la actualidad. Según las estadísticas de Netcraft en febrero, más de la mitad de los sites activos, concretamente 57.45% hacían uso de este software.

La nueva versión trae consigo gran cantidad de pequeños arreglos y nuevas funcionalidades, tanto en el núcleo de la aplicación como en muchos de los módulos que se incluyen por defecto. Algunos de los cambios han afectado a módulos como 'mod_proxy', 'mod_ssl' o 'mod_session' entre muchos otros. Otro cambio se ha producido en la directiva 'DirectoryIndex' con el valor 'disabled', la encargada de evitar que pueda ser listado el contenido de un directorio. El cambio propicia que la directiva se anteponga ahora a todas las configuraciones anteriores, y no sólo a las de anteriores secciones.

Con respecto a las actualizaciones de seguridad, en este caso vemos que solamente se ha corregido un fallo:

  • CVE-2012-0883: Relacionada con el manejo incorrecto de la variable  de entorno 'LD_LIBRARY_PATH'. El fallo podría permitir a un atacante  buscar DSO (dinamyc shared object) en el directorio actual y ejecutar así código arbitrario  con los permisos con los que esté funcionando actualmente Apache. Básicamente, un atacante local podría engañar a la variable para que apunte a un directorio con librerías diferentes y por tanto, ejecutar el código en ellas cuando se lanza por ejemplo, apachectl.

Más información:

Changes with Apache 2.4.2



Javier Rascón

martes, 17 de abril de 2012

Vulnerabilidad en los drivers de NVIDIA para Linux


NVIDIA ha publicado un boletín informando de una vulnerabilidad en sus drivers para sistemas Unix que podría permitir una elevación de privilegios.

La vulnerabilidad se debe a un error en el acceso de lectura y escritura a los nodos de dispositivos GPU. Esto podría ser explotado por un atacante local para reconfigurar una GPU para leer y/o escribir arbitrariamente en la memoria del sistema.

Para conseguir explotarla con éxito es necesario disponer de permisos de lectura y escritura a los nodos de dispositivos GPU. Sin embargo esto no supone ningún impedimento dado que la configuración por defecto garantiza el acceso de lectura y escritura a los nodos de dispositivos GPU para todos los usuarios.

La vulnerabilidad ha sido identificada como CVE-2012-0946.

Los dispositivos GeForce 8 y superiores, Quadro G80 y superiores, y todas las GPUs Tesla se encuentran afectados.

NVIDIA ha publicado los drivers 295.40 para Linux, Solaris y FreeBSD que solucionan este error. Además ha publicado parches para versiones anteriores de los controladores. La nueva versión de los controladores puede descargarse desde la página oficial, y los parches desde su FTP. En "Más información" se encuentran los enlaces correspondientes.

Más información:

Security vulnerability CVE-2012-0946 in the NVIDIA UNIX driver

NVIDIA driver downloads

Security patches for CVE-2012-0946 in the NVIDIA Linux driver



Juan José Ruiz


lunes, 16 de abril de 2012

Denegación de servicio en WordPress


Se ha publicado una vulnerabilidad que afecta a WordPress y que podría permitir que un atacante remoto llevara a cabo una denegación de servicio.

WordPress es un sistema de gestión de contenidos (CMS) de código libre muy utilizado para crear blogs y páginas web que se actualizan con frecuencia. Actualmente se encuentra en la versión 3.3.1.

El usuario MustLive ha encontrado una vulnerabilidad de abuso de funcionalidad (AoF) en WordPress. Es abuso de funcionalidad es una técnica de ataque en el que se utilizan las propias funcionalidades de un sitio para atacarlo. Un atacante remoto podría causar una denegación de servicio mediante un ataque de este tipo.

La vulnerabilidad se encuentra en las funcionalidades 'Reparar la base de datos' y 'Reparar y optimizar la base de datos' ('Repair Database' y 'Repair and Optimize Database') en 'wp-admin/maint/repair.php'. Enviando múltiples peticiones de a este script se consigue aumentar el consumo de recursos, pudiendo causar una denegación de servicio que afectara a todo el servidor:


Para que la vulnerabilidad pueda ser explotada es necesario que la opción 'WP_ALLOW_REPAIR' esté habilitada en el archivo de configuración 'wp-config.php'.

Aún no tiene asignado ningún identificador CVE. Son vulnerables las versiones de WordPress desde la 2.9 a la 3.3.1.

Más información:

DoS vulnerability in WordPress

DoS vulnerability in WordPress



Juan José Ruiz

domingo, 15 de abril de 2012

Hispasec participa en el Security Blogger Summit 2012


La 4ª edición del Security Blogger Summit se celebra este año el jueves 19 de abril y contará con representación de Hispasec. El lugar en el se realiza el evento será en la Sala Columnas del Círculo de Bellas Artes de Madrid a partir de las 18:00. También podrá verse en streaming en http://securitybloggersummit.com/.

En esta ocasión, el título del debate planteado será: "Seguridad y privacidad, ¿estamos seguros en Internet?" y durante la mesa redonda se tratarán temas como la seguridad en las redes sociales, el ciberbullying, los límites entre la seguridad y la privacidad, así como qué soluciones se pueden llevar a cabo a través de la legislación, la Ley SINDE y la Ley SOPA.

Hasta el momento, los invitados confirmados son los siguientes:

  • Pablo Pérez San José, Gerente del Observatorio de la Seguridad de la Información, INTECO.
      
  • Lorenzo Martinez, co-fundador y editor del blog de seguridad informática Security by Default.
       
  • Pablo Fernández Burgueño, abogado especializado en nuevas tecnologías y socio co-fundador del bufete Abanlex.
       
  • Fernando Tellado, responsable nacional de estrategia en redes sociales de UPyD.
       
  • Sergio de los Santos, consultor y auditor técnico de seguridad de Hispasec.

El registro es gratuito.

Más información:

Security Blogger Summit


Laboratorio Hispasec
laboratorio@hispasec.com

sábado, 14 de abril de 2012

Cross site scripting en Nimbuzz


Se ha reportado un error en Nimbuzz que lo haría vulnerable a ataques Cross Site Scripting.

Nimbuzz es un cliente de mensajería instantánea que soporta los protocolos de Windows Live Messenger, Yahoo! Messenger, ICQ, Google Talk, AIM, así como redes sociales como Facebook e incorpora voIP para realizar llamadas.

Se ha descubierto un error de filtrado en Nimbuzz cuando se muestra el historial de conversaciones en el navegador que podría permitir ataques Cross Site Scripting persistentes.

Un atacante remoto, con el que se está chateando, podría enviar una cadena de texto especialmente manipulada a través del chat y de esta forma aprovechar la vulnerabilidad para ejecutar código HTML o JavaScript arbitrario en el navegador del usuario.

Es sencillo realizar una prueba de concepto de esta vulnerabilidad, simplemente escribiendo en la ventana del chat:





y posteriormente visitando el historial de la conversación en el navegador (con la opción "Ver en navegador" o "View in browser"). El resultado se puede observar en la imagen siguiente.


Se ha comprobado que la versión actual de Nimbuzz, la 2.2.0 se ve afectada por esta vulnerabilidad. Versiones anteriores también podrían ser vulnerables.

Por el momento no existe ninguna versión que corrija este fallo, al que tampoco se ha asignado ningún identificador CVE.

También se ha encontrado que el propio sitio web de Nimbuzz resulta vulnerable a ataques XSS:


Más información:

Nimbuzz 2.2.0 Cross Site Scripting



Juan José Ruiz