jueves, 31 de marzo de 2016

Ejecución remota de comandos en productos Trend Micro

Una vez más sale a la luz una vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectador por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.

Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.

Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.

De forma que para explotar el fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.


El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.

No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.

El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.

Más información:

TrendMicro: A remote debugger stub is listening in default install

una-al-dia (08/09/2015) Polémicos anuncios de vulnerabilidades en productos Kaspersky y FireEye

una-al-dia (29/09/2015) Múltiples vulnerabilidades en productos Kaspersky

Analysis and Exploitation of an ESET Vulnerability

Sophail: Applied attacks against Sophos Antivirus

Kaspersky: Mo Unpackers, Mo Problems.



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada