sábado, 30 de noviembre de 2013

Vulnerabilidad en el cliente de Steam

Se ha dado a conocer una vulnerabilidad en el cliente de Steam que podría permitir a un atacante ejecutar código arbitrario en Valve Steam, sin que sea necesaria ninguna acción por parte del usuario afectado, más allá de la de acceder al servicio.

Steam es una plataforma de distribución digital, gestión digital de derechos, comunicaciones y servicios multijugador desarrollada por Valve Corporation. Su principal uso y por lo que es más conocida es la distribución de videojuegos. El registro en el servicio es gratuito y en la actualidad cuenta con más de 2200 juegos disponibles y más de 50 millones de cuentas de usuario activas. Entre los fabricantes que ofrecen sus juegos a través de Steam se cuentan Activision, Rockstar Games, Square Enix o Sega.

El problema se ha anunciado a través de ZDI (Zero Day Initiative), y reside en el tratamiento de mensajes de usuario a usuario por el cliente. Un atacante podría explotar la vulnerabilidad mediante el envío de un mensaje específicamente construido a otro usuario Steam a través del servicio de chat que ofrece la propia plataforma. Sin intervención alguna del usuario afectado el atacante podría conseguir la ejecución de código.

El problema quedó solucionado en la actualización del 30 de octubre de 2013, que además incluye otras mejoras y correcciones.

Más información:

Valve Steam User Chat Message Remote Code Execution Vulnerability

Steam Client Update Released


Antonio Ropero
Twitter: @aropero

viernes, 29 de noviembre de 2013

Gusanos, routers y javascript

Tradicionalmente, los creadores de malware se han enfocado allí donde les es más rentable invertir su tiempo y recursos: Una rápida y amplia difusión de sus creaciones sobre una plataforma con un gran número de usuarios sin conocimientos avanzados. El malware por excelencia sigue siendo el troyano creado para sistemas Windows, sobre todo el orientado a la banca. Decimos "sigue siendo" debido sobre todo a la constante aparición de muestras para dispositivos móviles, hasta tal punto, que en nuestro propio laboratorio de análisis de malware ya hay personal exclusivamente para analizarlas.

Al margen de toda esta vorágine, nos llama la atención aquel tipo de malware que no está enfocado al público en general. Al menos no directamente. En este caso particular se trata de un gusano descubierto por Symantec, denominado Linux.Darlloz.

Darlloz aprovecha una vulnerabilidad, con CVE-2012-1823, para ejecutar código arbitrario en el sistema. Se trata de un fallo bastante curioso en PHP cuando está configurado para funcionar como CGI, configuración bastante común en los servidores web que publican frontales de administración de dispositivos empotrados, por ejemplo y sobre todo routers.

Los routers son a menudo los grandes olvidados en cuanto a actualizaciones se refiere. Parafraseando cierta jerga militar es un dispositivo de "dispara y olvídalo". El usuario medio abre la caja, enchufa los cables, ve parpadear la luz verde y cuando comprueba en el navegador que aparece el logotipo de Google el router pasa a ser una caja con lucecitas detrás de algún mueble o rack.

El vector de entrada del gusano es pobre. Necesita que la interfaz web esté escuchando hacia fuera (Internet), intenta combinaciones de usuario password conocidas para acceder a cierta funcionalidad y por último lanza el exploit con la esperanza de que el objetivo no haya sido parcheado. No es de extrañar que la propia Symantec lo clasifique de propagación baja, lo cual evidentemente no quiere decir que no entrañe peligro. Cualquier router de hace unos años con su configuración inmaculada de fábrica sería el candidato perfecto.

Desde luego es bastante común ver routers con las credenciales de administración por defecto, pero no lo es tanto ver el servidor escuchando hacia la red. Aunque curiosamente se da el caso de que si que podríamos llegar a exponer el panel de administración de nuestro router a todo Internet sin darnos cuenta.

Según Alexandros Kapravelos (@kapravel), del proyecto Webawet, han observado un script malicioso que intenta acceder a direcciones locales de nuestra red interna. Concretamente se interesan precisamente por el router y su configuración, en este caso el script prueba con la clásica 192.168.1.1

En un primer movimiento, el script intenta verificar si puede tener acceso al router, por ejemplo solicitando una imagen:

http://admin:admin@192.168.1.1/images/logo.jpg

Nada le impide al script seguir probando combinaciones de usuario-password hasta dar con alguna típica por defecto. Si acierta, pasará de obtener un código HTTP 401 o 403 a un 200.

Seguidamente, si tiene éxito, prosigue ejecutando dos funciones que tienen por objeto la modificación de la configuración del router. ¿Y que vemos en una de ellas?:

http://192.168.1.1/userRpm/ManageControlRpm.htm?port=11&ip=0.0.0.0&Save=%C8%B7+%B6%A8

Esta última orden, en cierto router, cambiaría la dirección de escucha del servidor web a 0.0.0.0 o lo que es lo mismo: Internet (0.0.0.0 es la "ruta por defecto", equivale a escuchar en cualquier  dirección).

Evidentemente lo que pretendemos mostrar aquí no es que el atacante mande un enlace a la víctima para posteriormente indicarle al gusano que infecte el router. Lo que podemos aprender de todo esto es como podría orquestarse un ataque combinando pequeñas acciones en pasos muy concretos.

El router es un punto crítico en el sistema, por ahí pasan todas las comunicaciones de una red interna hacia el exterior. Es el dispositivo perfecto para persistir: No se suele actualizar, no se suele revisar y no lleva antivirus. Casi todos pasan por montar un sistema UNIX o derivado; lo que llevaría a los atacantes al trío por excelencia: explotar, escalar privilegios e instalar puerta trasera una vez obtenido el acceso.

Mediante un spear phishing podemos intentar colar un enlace a una página web a alguien de dentro para que ejecute dicho javascript, servir el panel de administración hacia Internet y explotarlo. Una vez con el control del router las posibilidades son infinitas. Y desde luego conociendo previamente el tipo de dispositivo el ataque puede refinarse al máximo.

¿Ha llamado alguien preguntado por el modelo de router últimamente?

Más información:

Linux Worm Targeting Hidden Devices

Attacking home routers via JavaScript


David García
Twitter: @dgn1729

jueves, 28 de noviembre de 2013

Múltiples vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha solucionado varios errores de seguridad catalogados como "altamente críticos", el máximo nivel en su escala de riesgo al ser remotamente explotables y sin necesidad de interacción con el usuario.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

Las vulnerabilidades se detallan a continuación:

Múltiples errores en la validación contra ataques CSRF en la API de formularios que podrían permitir la ejecución de funciones no seguras.

Varios fallos en la función mt_rand() podrían generar números pseudoaleatorios predecibles. Dicha función es usada en múltiples módulos del núcleo de Drupal.

Algunos campos de descripción de imágenes no son correctamente saneados en el módulo Image pudiendo realizarse un ataque XSS.

Falta de comprobación de valores también en el módulo Color que podría ser aprovechado para realizar un ataque XSS no persistente.

Error de validación de URLs en el módulo Overlay usado en el panel de administración que podría permitir una redirección HTTP no deseada.

También se ha corregido un salto de restricciones de seguridad en la función drupal_valid_token() a través de un token que no sea de tipo cadena y otro fallo de configuración en los archivos '.htaccess' proporcionados por Drupal que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

Afecta a las versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24, se recomienda su inmediata actualización.

Más información:

SA-CORE-2013-003 - Drupal core - Multiple vulnerabilities



Fernando Castillo

miércoles, 27 de noviembre de 2013

Microsoft publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows

Cuando Microsoft publica una alerta o boletín fuera de su ciclo habitual de actualizaciones es que algo grave pasa y hoy se ha dado una de esas ocasiones. Microsoft ha publicado un boletín en el que alerta de una vulnerabilidad en un componente del kernel de Windows XP y Windows Server 2003.

Según confirma Microsoft, la vulnerabilidad se está explotando de forma activa en este momento, de ahí la alerta fuera de ciclo. La vulnerabilidad (con CVE-2013-5065) solo afecta a Windows XP y Windows Server 2003 y reside concretamente en que el componente NDProxy.sys del Kernel falla al validar las entradas de forma adecuada.

NDProxy es un controlador proporcionado por el sistema que interactúa con los controladores de minipuerto WAV, administradores de llamadas y administradores de llamadas de minipuerto a los servicios de interfaz de programación de aplicaciones de telefonía (TAPI).

Un atacante local que explote con éxito esta vulnerabilidad podrá ejecutar código arbitrario en modo kernel, es decir podrá instalar programas; visualizar, cambiar o eliminar datos; o crear nuevas cuentas con derechos de administrador. Para explotar la vulnerabilidad, el atacante tendrá que estar autenticado en el sistema.

Microsoft ofrece una contramedida, que aunque no corrige la vulnerabilidad bloquea los vectores de ataque conocidos, por lo que será efectiva al menos hasta que se publique la actualización de seguridad definitiva.

Como recomendación se ofrece el reenrutamiento del servicio NDProxy a Null.sys Desde una consola con permisos administrativos se debe ejecutar:

sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f

Tras lo que hay que reiniciar el sistema.

Esta contramedida provoca que todos los servicios que se basan en Windows TAPI (Telephony Application Programming Interfaces) dejen de funcionar, esto incluye servicios como Remote Access Service (RAS), conexión de acceso telefónico o VPN (Virtual Private Networking).

Más información:

Aviso de seguridad de Microsoft (2914486)
Una vulnerabilidad en el kernel de Windows Microsoft podría permitir la elevación de privilegios

MS Windows Local Privilege Escalation Zero-Day in The Wild


Antonio Ropero
Twitter: @aropero

martes, 26 de noviembre de 2013

Nuevas versiones de Ruby corrigen ejecución remota de código

El lenguaje de programación Ruby ha actualizado sus ramas 2.1x, 2.x y 1.9.x para resolver una vulnerabilidad remota que permitiría realizar una denegación de servicio y potencialmente la ejecución de código arbitrario.

La vulnerabilidad, con CVE-2013-4164, común a todas las versiones indicadas, se debe a un fallo a la hora de procesar valores en coma flotante, localizado en el archivo 'util.c' (función ruby_strtod).

Según su descubridor Charlie Somerville (@charliesome), desarrollador de Ruby, cuando se realiza una conversión de determinadas cadenas a valores en coma flotante se produce un desbordamiento de memoria basado en pila que es potencialmente utilizable para la ejecución remota de código a través de valores especialmente manipulados.

Aunque no existe un exploit por el momento, Charlie ha indicado que cualquier código vulnerable produce el desbordamiento de memoria al utilizar métodos o funciones que conviertan tipos desde orígenes desconocidos a coma flotante, como "to_f" o el habitual "JSON.parse":

  Cadena_vulnerable.to_f

  JSON.parse Cadena_vulnerable

Se trataría de una vulnerabilidad similar a la ya corregida en el CVE-2009-0689.

Las versiones afectadas que deben ser actualizadas urgentemente son:

  • Rama 1.9.x anterior a 1.9.3 p484
  • Rama 2.0.x anterior a 2.0.0 p353
  • Rama 2.1.x anterior a 2.1.0 preview2

Aquellos usuarios que todavía utilicen la rama 1.8 deberán migrar sus sistemas a las nuevas, ya que no hay soporte oficial para la misma.

Más información:

Heap Overflow in Floating Point Parsing (CVE-2013-4164)
  

José Mesa Orihuela

lunes, 25 de noviembre de 2013

Múltiples vulnerabilidades en Moodle

Moodle, tras un conveniente retraso en la publicación por cuestiones de seguridad, ha publicado cinco nuevos boletines en los que se corrigen sendas vulnerabilidades, desde los habituales XSS hasta salto de restricciones, viéndose afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos. A grandes rasgos, especificamos la serie de boletines publicados y sus vulnerabilidades:

  • MSA-13-0036, marcada con un impacto 'leve', solucionaría la posible revelación de información sensible, debido a la incorrecta configuración de las directivas de caché utilizadas en los cabeceras para gestionar recursos seguros (CVE-2013-4522), en concreto la falta del header 'Cache-Control: private', posibilitando que sean cacheados en la caché compartida.
        
  • MSA-13-0040, MSA-13-0039 y MSA-13-0037, marcadas con un impacto 'severo' y que corrigen diferentes 'cross-site scripting' en el módulo Quiz (CVE-2013-4525) a través de la página "Quiz Results" y en el módulo Messages (CVE-2013-4523), además de un tercero en la librería YUI2 (CVE-2013-6780) debido a los ficheros SWF distribuidos en el directorio 'lib/yui' que se veían afectados.
         
  • Y finalmente el boletín MSA-13-0036, marcado también con un impacto 'severo' debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.


Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6,  2.5.3, 2.4.7 y 2.3.10  y pueden ser descargadas desde su página oficial:

Más información

Moodle security notifications public

MSA-13-0040: Cross site scripting vulnerability in YUI library

MSA-13-0039: Cross site scripting in Quiz

MSA-13-0038: Access to server files through repository

MSA-13-0037: Cross site scripting in Messages

MSA-13-0036: Incorrect headers sent for secured resources



José Mesa Orihuela

domingo, 24 de noviembre de 2013

Salto de restricciones de seguridad en servidores nginx

Ivan Fratric del equipo de seguridad de Google ha descubierto un fallo en nginx que podría permitir a un atacante remoto eludir restricciones de seguridad de algunas configuraciones.

nginx es un servidor web, open source y desarrollado casi íntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al máximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. También puede realizar la función de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.

La vulnerabilidad con CVE-2013-4547 se produce en peticiones URI que contengan el carácter 'espacio' y no se encuentre escapado, concretamente no se comprueba el carácter que haya a continuación de éste, pudiendo así eludir restricciones de seguridad como la siguiente:

location /protected/ {
       deny all;
    }

Se puede tomar como ejemplo la petición "/foo /../protected/file" (es necesario que exista el directorio "foo ").

Afecta a las versiones 0.8.41 – 1.5.6 y se encuentra ya solucionado en las versiones 1.5.7, 1.4.4 .

Más información:

nginx security advisory (CVE-2013-4547)

nginx - patch.2013.space


Fernando Castillo

sábado, 23 de noviembre de 2013

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa 16 nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, elevar sus privilegios en el sistema, acceder a información sensible o conseguir ejecutar código arbitrario.

Los problemas corregidos se deben a errores en la implementación del protocolo IPv6 al tratar determinados paquetes UDP cuando está activa la característica UDP Fragmentation Offload (UFO), en la creación de direcciones IPv6 temporales, en la forma en que se tratan informes HID (Human Interface Device) con un Report ID fuera de límites, en la implementación ANSI CPRNG y un problema de recesión al corregir la vulnerabilidad CVE-2012-2375 en la actualización RHSA-2012:1580.

También se han solucionado fallos en mapeos de memoria IOMMU, un desbordamiento de búfer en el tratamiento de controladores de juego Zeroplus y Pantherlord/GreenAsia, fugas de información en la implementación de logical link control (LLC), un desbordamiento de búfer en el controlador Ethernet tg3, diversas fugas de información que podrían permitir a usuarios locales acceder a memoria del kernel y una escalada de privilegios que podrían permitir a un usuario local elevar sus permisos al nivel del kernel (ring0).


Además se han solucionado múltiples fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: Red Hat Enterprise Linux 6 kernel update
  


Antonio Ropero

Twitter: @aropero

viernes, 22 de noviembre de 2013

Google soluciona una grave vulnerabilidad en el sistema de reinicio de contraseñas de Gmail

Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.

El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.


                        http://www.youtube.com/watch?v=zJFuSPywWM8

El proceso incluye un "spear-phishing” o phishing dirigido con un objetivo concreto, procedente de Google, pero el enlace lleva a un sitio controlado por el atacante. Pero de tal forma que el usuario ni siquiera se de cuenta, ya que el sitio realmente realiza una petición en sitios cruzados ("cross-site request fogery" o CSRF), con el lanzamiento de un cross-site scripting (XSS) que engaña a Google para que crea que el usuario está solicitando el reestablecimiento de su contraseña. Como si realmente tuviera problemas para acceder al servicio.


Tras ello el usuario va a un sitio https de Google.com auténtico. Lo cual hace creer al usuario que todo es correcto.


Tras lo cual la contraseña pasará a estar en poder del atacante.


Una vez más se confirma la gravedad de los fallos de cross-site scripting y CSRF, como ya dijimos no hay que descartar su importancia.

Oren señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.

Más información:

Google Account Recovery Vulnerability



Antonio Ropero
Twitter: @aropero

jueves, 21 de noviembre de 2013

OWASP: Los diez riesgos más críticos en aplicaciones web (2013)

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web. Este documento pretende concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se exponen. 

El proyecto OWASP tiene como objetivo ofrecer una metodología, de libre acceso y utilización, que pueda ser utilizada como material de referencia por parte de los arquitectos de software, desarrolladores, fabricantes y profesionales de la seguridad involucrados en el diseño, desarrollo, despliegue y verificación de la seguridad de las aplicaciones y servicios web.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición, en 2007 se liberó la segunda y la tercera edición se publicó en 2010.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (el número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

El objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. El Top 10 provee técnicas básicas sobre como protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir.

El OWASP Top 10 2013, se basa en 8 conjuntos de datos de 7 firmas especializadas en seguridad de aplicaciones, incluyendo 4 empresas consultoras y 3 proveedores de herramientas SaaS. Estos datos abarcan más de 500.000 vulnerabilidades a través de cientos de organizaciones y miles de aplicaciones. Las vulnerabilidades del Top 10 son seleccionadas y priorizadas de acuerdo a estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.

Existen cientos de problemas que pueden afectar a la seguridad en general de una aplicación web, por lo que se recomienda seguir la Guia de Desarrollo OWASP y la OWASP Cheat Sheet.

Cambios más significativos

Esta actualización profundiza sobre una de las categorías de la versión 2010, a fin de ser más inclusivo, sobre importantes vulnerabilidades comunes, y reordena algunos de los demás basándose en el cambio de los datos de prevalencia.

En esta edición de 2013 se pueden destacar los siguientes cambios respecto de la edición anterior del 2010. La perdida de autenticación y gestión de sesiones ascendió en prevalencia (pasa del nivel de gravedad 3 al 2). La falsificación de Peticiones en Dominios Cruzados (CSRF) disminuyó en prevalencia (pasa del nivel 5 al nivel 8).

También se ha ampliado la categoría 8 "Falta de restricciones en accesos por URL" para darle un significado más amplio, ahora es "Ausencia de Control de Acceso a las Funciones". Se han fusionado y ampliado las categorías 7 y 9, para crear el nivel 6 "Exposición de Datos Sensibles". Por último, se ha creado la categoría 9 "Uso de Componentes con Vulnerabilidades Conocidas", antes incluido como parte del grado 6 "Defectuosa configuración de seguridad" pero ahora posee una categoría propia debido al crecimiento del desarrollo basado en componentes.

Top Ten 2013

La edición del 2013 presenta las siguientes categorías:
 
A1 – Inyecciones

Vulnerabilidades de inyección de código, desde SQL o comandos del sistema hasta LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta.

A2 – Pérdida de autenticación y gestión de sesiones

El anterior número tres. Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación. Se produce cuando las funciones de la aplicación relacionadas con la autenticación y la gestión de sesiones no se implementan correctamente, lo que puede permitir a los atacantes comprometer contraseñas, claves, token de sesiones, o explotar otros problemas que podrían permitir asumir la identidad de otros usuarios.

A3 – Cross-Site Scripting (XSS)

Anteriormente en el número dos, no por ello sigue siendo una de las vulnerabilidades más extendidas y a la par subestimada.

A4 – Referencias directas inseguras a objetos

Errores al exponer partes privadas o internas de una aplicación sin  control y accesibles públicamente. Ocurre cuando un desarrollador expone al exterior una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos.

A5 – Configuración de seguridad incorrecta

Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web. Es decir, se refiere a la definición e implementación de una configuración segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor web, base de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas y mantenidas, ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación.

A6 – Exposición de datos sensibles

Esta categoría surge de la fusión y ampliación de las anteriores A7 y A9. Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación. Los datos sensibles requieren de métodos de protección adicionales tales como el cifrado de datos almacenados mediante técnicas criptográficas adecuadas (p.ej. manteniendo el hash de la contraseña en vez de la propia contraseña cifrada), así como también de precauciones especiales en el intercambio de datos con el navegador.

A7 – Ausencia de control de acceso a funciones

Surge de la ampliación de la anterior categoría 8, que trataba la falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas. Ahora se refiere tanto a URLs como a los datos que se pasan a funciones de la propia aplicación.

A8 – Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).

Anteriormente en el puesto 5. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario  autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A9 – Utilización de componentes con vulnerabilidades conocidas

Se refiere al uso de componentes tales como librerías, frameworks y otros módulos de software, que en muchas ocasiones funcionan con todos los privilegios. Si se ataca un componente vulnerable esto podria facilitar la intrusión en el servidor o una perdida de datos.

A10 – Redirecciones y reenvíos no validados.

Errores en el tratamiento de redirecciones y uso de datos no confiables  como destino.


Desde nuestra experiencia, cuando hacemos auditorías de aplicaciones webs, el ranking enumera perfectamente los hallazgos que encontramos durante los trabajos. Incluso nos ha llamado la atención, más de una vez, acertar con el pleno completo. Sorprende ver que la seguridad web sigue siendo asignatura pendiente de una gran cantidad de sitios importantes con miles de visitantes al día.

Más información:

Sitio principal de OWASP

OWASP Top 10 for 2013 [PDF]

una-al-dia (19/04/2010) OWASP: Los diez riesgos más importantes en aplicaciones web (2010)



Antonio Ropero
Twitter: @aropero

miércoles, 20 de noviembre de 2013

Ataque masivo de fuerza bruta contra los usuarios de GitHub

Github, el popular servicio de hospedaje de código fuente, ha publicado una entrada en su blog para informar de la detección de un ataque distribuido de fuerza bruta contra las cuentas de sus usuarios.

En principio, según GitHub, parece ser que el ataque se ha originado desde unas 40.000 IPs, lo que hace pensar que proviene de una botnet. Aunque aun se encuentran investigando el impacto del ataque, algunas cuentas han sido bloqueadas debido a que se ha detectado actividad desde las IPs atacantes, lo cual indica que el ataque de fuerza bruta ha tenido éxito sobre algunas cuentas de usuario.

No se comenta que tipo de actividad, pero desde una cuenta de usuario de GitHub se puede manipular código de un repositorio. GitHub permite editar el código directamente desde su interfaz web, o añadir claves privadas que permiten operar desde remoto contra el repositorio.

Respecto de las defensas de GitHub, tienen limitado el número de autenticaciones fallidas por cuenta, lo que ha motivado que el ataque se haya efectuado "a fuego lento" con un ratio bajo de prueba-error por cada cuenta de usuario. Los atacantes intentaron permanecer por debajo del radar.

No se conoce cuando se inició el ataque, pero revisando el histórico de seguridad algunos usuarios han detectado IPs desde ciertos países ajenos a ellos con intentos de hace más de cinco días.

Desde GitHub recomiendan revisar el histórico de seguridad, crear una contraseña fuerte y activar autenticación de dos factores.

Llama la atención una cosa: A partir de ahora GitHub no permitirá crear una contraseña débil. O lo que es lo mismo: GitHub permitía hasta hoy, como otros tantos sitios, crear una contraseña débil. Esto, junto con la práctica de compartir la misma credencial en varios sitios, es un eslabón demasiado frágil que está siendo aprovechado por los atacantes. Sirva de ejemplo el reciente ataque a Adobe, donde las contraseñas de los usuarios, cifradas inadecuadamente, también servían para autenticarse en otros sitios no relacionados.

El ataque que estamos comentando es muy sonoro, prácticamente casi todos los usuarios tienen registros de intentos fallidos de autenticación, eso no pasa sin ser detectado ya que produce demasiado ruido a pesar de que el ataque ha limitado su ratio de intentos.

¿Pero que hubiera ocurrido si hubiesen concentrado el ataque en unos pocos proyectos grandes, con muchos desarrolladores, donde una pequeña cuenta es capaz de inyectar un trozo de código que pasase desapercibido entre multitud de líneas?

Más información:

Weak passwords brute forced

About Two-Factor Authentication

GitHub Security

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta



David García
Twitter: @dgn1729

martes, 19 de noviembre de 2013

Actualización de seguridad para Firefox

Mozilla ha publicado una actualización de la librería Network Security Services (NSS) empleada en algunos de sus proyectos con objeto de corregir diversos problemas clasificados con diferentes niveles de gravedad (desde leve a crítica).

La librería se actualiza a la versión NSS 3.15.3 con la excepción de las versiones ESR17 en las que se actualiza a NSS 3.14.5. La librería NSS es la encargada de añadir el soporte para SSL, S/MIME y otros estándares de seguridad en Internet. NSS proporciona una implementación completa open-source de las librerías criptográficas y se emplea por múltiples productos y fabricantes como AOL, Red Hat o Sun.

El primero de los problemas corregidos reside en un desbordamiento de búfer (con CVE-2013-5605) corregido en las dos nuevas versiones de la librería NSS. Otro problema (con CVE-2013-5606) consiste en que si se usa la característica verifylog cuando se validan certificados no se rechazan los certificados con restricciones de uso de clave incompatibles. Aunque este problema no afecta directamente a Firefox podría afectar a otro software que haga uso de la librería afectada.

Otra vulnerabilidad corregida (CVE-2013-1741) se presenta en forma de denegación de servicio en el tratamiento de certificados en sistemas de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate (CVE-2013-5607) y por último se ha bajado la prioridad del cifrado RC4 para que el servidor elija cifrados más seguros que el RC4 (CVE-2013-2566).

Se han publicado las versiones Firefox 25.0.1, Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen la librería actualizada, disponibles a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Mozilla Foundation Security Advisory 2013-103


Antonio Ropero

Twitter: @aropero

lunes, 18 de noviembre de 2013

Ejecución de código en LiveZilla

Se ha anunciado una vulnerabilidad en LiveZilla que podría permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.

LiveZilla es una solución online, que puede formar parte de cualquier web para dotarla de un sistema de chat, principalmente orientada al soporte técnico 'Help Desk'. Según los investigadores que han reportado la vulnerabilidad 'Curesec Research Team', LiveZilla estaría presente en un millón y medio de webs.

Este fallo fue reportado a LiveZilla por los investigadores el pasado 10 de Octubre y afecta a la versión 5.0.1.

La vulnerabilidad tiene asignada el CVE 'CVE-2013-6225' y podría permitir la ejecución de código remoto a través del fichero 'mobile/php/translation/index.php'.

$langFileLocation = ‘.’;
$LZLANG = Array();
if (isset($_GET['g_language'])) {
$language = ($_GET['g_language'] != ”) ? $_GET['g_language'] : ‘ein’;
require ($langFileLocation . ‘/langmobileorig.php’);
$LZLANGEN = $LZLANG;
if (file_exists($langFileLocation . ‘/langmobile’ . $language . ‘.php’)) {
require ($langFileLocation . ‘/langmobile’ . $language . ‘.php’);     <— eeeek it is a bug
}

El problema reside en que la variable $_GET['g_language'] no está correctamente validada, y podría ser especialmente manipulada pudiendo permitir la ejecución de código arbitrario.

La versión 5.1.0.0 que soluciona esta vulnerabilidad puede ser descargada desde: https://www.livezilla.net/downloads/pubfiles/LiveZilla_5.1.0.0_Full.exe

Más información:

Remote Code Execution in LiveZilla
  


Laboratorio Hispasec

domingo, 17 de noviembre de 2013

Vulnerabilidad en BlackBerry Link

Se ha anunciado una vulnerabilidad en BlackBerry Link, que podría permitir a usuarios remotos y locales obtener el control de los sistemas afectados.

BlackBerry Link, es el sustituto de BlackBerry Desktop, el software encargado de gestionar y sincronizar el contenido entre los dispositivos BlackBerry 10 y el ordenador. También permite y facilita la transferencia de archivos y configuraciones desde dispositivos anteriores.

Se ven afectadas las instalaciones de BlackBerry Link para Windows versiones 1.0.1.12 a 1.2.0.28 y BlackBerry Link para Mac OS versiones 1.0.1 (build 6) a 1.1.1 (build 35). En concreto, la vulnerabilidad reside en el componente "Peer Manager" de las versiones afectadas. Este módulo, que hace uso de WebDAV, es el encargado de proporcionar el acceso remoto a archivos, lo que permite a los usuarios del smartphone acceder a carpetas específicas de su ordenador

http://es.blackberry.com/software/desktop/blackberry-link.html
A esta vulnerabilidad, descubierta por Tavis Ormandy y Ollie Whitehouse, se le ha asignado el CVE-2013-3694 y puede tener diferentes efectos según el escenario. Puede permitir una elevación local de privilegios, por la que un usuario local con privilegios restringidos podría acceder a los privilegios de cualquier otra cuenta de usuario que ejecute "Peer Manager".

La vulnerabilidad también permite lograr la ejecución remota de código, incluso con privilegios elevados. Para explotar esta vulnerabilidad el usuario debe pulsar sobre un enlace específicamente construido o acceder a una página web maliciosa.

BlackBerry ha publicado versiones actualizadas para corregir esta vulnerabilidad: BlackBerry Link para Windows versión 1.2.1.31 y BlackBerry Link para Mac OS version 1.1.1 (build 39). Disponibles desde:

Más información:

SRT 2013-012 Vulnerability in remote file access feature impacts BlackBerry Link



Antonio Ropero
Twitter: @aropero

sábado, 16 de noviembre de 2013

Actualización para iOS evita las compras sin autorización

Apple ha publicado una actualización para evitar compras no autorizadas en dispositivos móviles de Apple con software iOS.

El problema afecta a los teléfonos iPhone 4 (y posteriores), iPod touch de quinta generación (y posteriores) y a iPad 2 (y posteriores). La vulnerabilidad, con CVE-2013-5193, podría permitir a un usuario local del dispositivo efectuar compras en la App Store evitando la contraseña para tal efecto.

Apple actualiza a la versión iOS 7.0.4 para corregir este problema. Es reseñable que la mayoría de problemas de seguridad encontrados en iOS 7 hasta el momento han estado relacionados con debilidades en la autenticación (de una u otra forma), como debilidades en la autenticación biométrica o en el código de bloqueo, que permitían a usuarios saltarse estas medidas de protección.

Más información:

About the security content of iOS 7.0.4


Antonio Ropero
Twitter: @aropero


viernes, 15 de noviembre de 2013

El Mobile Pwn2Own 2013 revela vulnerabilidades en iPhone 5, Galaxy S4, Nexus 4 y Surface RT

En los días 13 y 14 de noviembre se ha celebrado el Mobile Pwn2Own 2013 el evento destinado a revelar vulnerabilidades para los dispositivos móviles de última generación. iPhone 5, Galaxy S4, Nexus 4 y Surface RT no han salido libres de esta convocatoria.

El evento celebrado en Tokio ha concluido con diversos equipos ganadores y cuantiosos premios en efectivo. El equipo Keen Team (de China) demostró dos exploits en un iPhone 5 a traves de Safari. Aunque no se saltaron la sandbox sí consiguieron capturar las credenciales de Facebook en iOS 7.0.3 y acceder a las fotos en iOS 6.1.4. Como premio consiguieron 27.500 dólares.

El equipo japonés MBSD (de la compañía Mitsui Bussan Secure Directions), demostró exploits contra diversas aplicaciones instaladas por defecto en los Samsung Galaxy S4. La combinación de estos fallos podrían permitir la instalación de una aplicación maliciosa y el robo de datos sensibles. Como premio obtuvieron 40.000 dólares.

Para que estos exploits tengan éxito el usuario debe visitar un sitio web controlado por el atacante, sin embargo tras eso, no se requiere ninguna interacción más y el atacante podrá instalar una aplicación con privilegios de sistema en el dispositivo. En este caso los atacantes podrían tener acceso a todo el teléfono, incluyendo todo tipo de datos sensibles como los contactos del usuario, marcadores, historial de navegación, capturas de pantalla, mensajes SMS, fotos, etc.

Por otra parte, los investigadores Abdul Aziz Hariri y Matt Molinyawe del equipo ZDI de Hewlett-Packard, organizadores del concurso, demostraron un exploit para Internet Explorer 11 sobre una tableta Microsoft Surface RT con Windows 8.1.


En el segundo día de competición, el equipo Pinkie Pie conseguía explotar una vulnerabilidad en Chrome en dos dispositivos diferentes, tanto en un Nexus 4 como en un Samsung Galaxy S4. Por ello conseguía un premio de 50.000 dólares. En este caso el exploit se aprovecha de dos vulnerabilidades, un desbordamiento de entero en el navegador Chrome y otra que permitía escapar totalmente de la sandbox. Las implicaciones de estos problemas combinados resultan en la posibilidad de ejecución de código arbitrario en el dispositivo afectado. La única interacción necesaria por el usuario es la visita de un sitio web malicioso.

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.

Más información:

Mobile Pwn2Own 2013

Keen Team exploits Safari in mobile browser category

Local Japanese team exploits mobile applications to install malware on Samsung Galaxy S4

Keen Team exploits Safari in mobile browser category


Antonio Ropero
Twitter: @aropero