viernes, 30 de junio de 2017

Importante vulnerabilidad remota en Linux a través de systemd

Se ha anunciado una grave vulnerabilidad que afecta a varias distribuciones Linux que puede permitir a un atacante remoto provocar condiciones de denegación de servicio o ejecutar código arbitrario.

El investigador Chris Coulson de Canonical (desarrolladores de Ubuntu) ha anunciado una vulnerabilidad de escritura fuera de límites en systemd-resolved. Un servidor DNS malicioso puede aprovechar la vulnerabilidad con el envío de una respuesta TCP especialmente diseñada para engañar systemd-resolved, de forma que determinados tamaños pasados a dns_packet_new pueden hacer que asigne un búfer demasiado pequeño y posteriormente escribir datos arbitrarios más allá del final del mismo. El atacante podría conseguir provocar la caída del sistema o ejecutar código arbitrario.


Según confirma Ubuntu la vulnerabilidad, con CVE-2017-9445, se introdujo en systemd en la versión 233 en 2015.
Ubuntu ha publicado actualizaciones del sistema que corrigen el problema:
Ubuntu 17.04:
Ubuntu 16.10:
O simplemente actualizando con:
       $ sudo apt-get update
       $ sudo apt-get dist-upgrade

Systemd fue creado por desarrolladores de RedHat y también se ha incluido en otras distribuciones Linux como Debian, openSUSE, Ubuntu, Arch Linux, SUSE Linux Enterprise Server, Gentoo Linux, Fedora o CentOS.

Debian por su parte confirma que esta vulnerabilidad afecta a Debian Stretch y Buster (aunque no a Debian Wheezy y Jessie). Red Hat y SUSE confirman que no se ven afectadas.

Más información:

CVE-2017-9445: Out-of-bounds write in systemd-resolved with crafted TCP payload

USN-3341-1: Systemd vulnerability
Ubuntu Security Notice USN-3341-1

Canonincal CVE-2017-9445

Debian CVE-2017-9445

Red Hat CVE-2017-9445

SUSE CVE-2017-9445


Antonio Ropero
Twitter: @aropero


jueves, 29 de junio de 2017

Múltiples vulnerabilidades en Symantec Messaging Gateway

Symantec ha publicado una actualización para solucionar tres vulnerabilidades en Symantec Messaging Gateway Appliance 10.x que podrían permitir a un usuario incluir archivos, evitar funcionalidades de seguridad o ejecutar código arbitrario.

Symantec Messaging Gateway está destinado a proteger la infraestructura de correo electrónico y productividad con protección en tiempo real contra software malicioso, spam, y ataques dirigidos. Incluye protección contra ataques dirigidos, datos de reputación de URL ampliados y administración simplificada con autenticación LDAP.

El primer problema, con CVE-2017-6326 y gravedad alta, reside en una vulnerabilidad que podría permitir a un atacante remoto ejecutar comandos en el sistema afectado. Por otra parte, con CVE-2017-6324 y también gravedad alta, se puede evitar la funcionalidad de desarme de una macro potencialmente malintencionada al procesar un archivo Word malformado en un adjunto de un correo electrónico, a pesar de que el administrador tenga habilitada dicha funcionalidad. Por último, de gravedad media con CVE-2017-6325, una vulnerabilidad de inclusión de archivos que podría dar lugar incluso a la ejecución de código remoto.

Se ven afectadas todas las versiones de Symantec Messaging Gateway Appliance anteriores a 10.6.3. Symantec recomienda actualizar a la versión 10.6.3 y aplicar el parche 10.6.3-266.

Más información:

Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Vulnerabilities

Symantec Messaging Gateway



Antonio Ropero

Twitter: @aropero

miércoles, 28 de junio de 2017

Elevación de privilegios en Azure Active Directory

Microsoft ha publicado un aviso de seguridad por la publicación de una nueva versión de Azure Active Directory (AD) Connect para corregir una vulnerabilidad de elevación de privilegios considerada como importante.

El problema, con CVE-2017-8613, consiste en una elevación de privilegios si la opción de escritura diferida de contraseñas ("writeback password") está mal configurada durante la habilitación. Un atacante que explote esta vulnerabilidad con éxito podría restablecer las contraseñas y obtener acceso no autorizado a cualquier cuenta privilegiada de usuarios locales del directorio activo.

La escritura diferida de contraseñas le permite configurar Azure AD para que escriba contraseñas en diferido en Active Directory local. Esto elimina la necesidad de configurar y administrar una solución de restablecimiento de contraseña y ofrece una manera conveniente basada en la nube para que los usuarios restablezcan sus contraseñas locales dondequiera que estén.

Para habilitar la escritura diferida de contraseñas, Azure AD Connect debe tener permiso de restablecer contraseña en las cuentas de usuario de AD locales. Al configurar el permiso, un administrador de AD local puede haber otorgado inadvertidamente el permiso de Azure AD Connect con la opción Restablecer contraseña a las cuentas privilegiadas de AD locales (incluidas las cuentas de administrador de empresa y dominio). Para obtener información acerca de las cuentas de usuario privilegiadas de AD, consulte Cuentas y grupos protegidos en Active Directory. 

El problema solo afecta a los usuarios que hayan habilitado la característica de recuperación de contraseñas ("writeback password") en Azure AD Connect. En el servidor Azure AD Connect, START → Azure AD Connect, Configurar, en la pantalla de tareas seleccionar Ver la configuración actual y bajo la configuración de sincronización comprobar la opción "Password Writeback".



El problema está corregido en la última versión de Azure AD Connect (1.1.553.0) al no permitir el restablecimiento arbitrario de contraseñas en las cuentas privilegiadas de usuarios locales de AD. La nueva versión se encuentra disponible desde:

Más Información:

Microsoft Security Advisory 4033453
Vulnerability in Azure AD Connect Could Allow Elevation of Privilege



Antonio Ropero

Twitter: @aropero

martes, 27 de junio de 2017

Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.

Petya pidiendo el rescate

El mensaje es claro:
"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya. El rescate solicitado para recuperarla  es de 300 euros en bitcoins.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva versión que ha recogido el exploit empleado por Wannacry para su actuación.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.


Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados.
Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Para Windows 8.1
Para Windows 10
Para Windows 7 y Server 2008
Windows XP, Server2003 y 8

Una muestra de Petya en Virustotal



Al igual que ocurría con Wannacry se buscaba un "botón de desactivación", un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.


Nuestro compañero Fernando Díaz explica en un hilo de Twitter acciones para detenerlo y una "vacuna temporal":

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:
Pues hoy no compra nadie


Está claro. No aprendemos:

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos

Identificado ataque de ransomware contra varias multinacionales con sede en España

VirusTotal

Wanna Cry Ransomware : Update 5/21/2017 FIX



Antonio Ropero
Twitter: @aropero



lunes, 26 de junio de 2017

Desbordamientos de búfer en IBM DB2

Se han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM), que podrían permitir a usuarios locales sobrescribir archivos, provocar condiciones de denegación de servicio o la ejecución de código arbitrario.

El primer problema, con CVE-2017-1105, reside en un desbordamiento de búfer que podría permitir a un usuario local sobrescribir archivos DB2 o provocar condiciones de denegación de servicio. Este problema afecta a todas las ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en AIX, Linux, Solaris y HP. DB2 en Windows no se ve afectado.

Por otra parte, con CVE-2017-1297, otro desbordamiento de búfer basado en pila en el procesador de línea de comandos (Command Line Process, CLP), debido a una comprobación inadecuada de límites que podría permitir a un atacante local ejecutar código arbitrario. Afecta a todas las versiones y ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en todas las plataformas.

IBM ha publicado la versión V11.1.2 FP2 que soluciona el problema en V11.1.1 disponible desde Fix Central:
También se han publicado parches y actualizaciones para el resto de versiones afectadas. Dada la diversidad de versiones y sistemas se recomienda consultar los boletines publicados:

Más información:

Security Bulletin: Buffer overflow vulnerability in IBM® DB2® LUW (CVE-2017-1105)

Security Bulletin: IBM® DB2® LUW's Command Line Processor Contains Buffer Overflow Vulnerability (CVE-2017-1297).






Antonio Ropero

Twitter: @aropero

domingo, 25 de junio de 2017

Cisco soluciona 23 vulnerabilidades en múltiples dispositivos

Cisco ha publicado 23 boletines de seguridad para solucionar otras tantas vulnerabilidades (tres de gravedad alta y el resto de importancia media) en múltiples productos que podrían permitir provocar denegaciones de servicio, cross-site scripting, inyección SQL, ejecutar código arbitrario, acceder al dispositivo sin autorización entre otros ataques.

Los productos afectados son
  • Cisco Virtualized Packet Core-Distributed Instance
  • Cisco WebEx Network Recording Player
  • Cisco Prime Infrastructure y Evolved Programmable Network Manager
  • Cisco Wide Area Application Services
  • Cisco Unified Contact Center Express
  • Cisco Prime Collaboration Provisioning
  • Cisco Identity Services Engine
  • Cisco IOS XR Software
  • Cisco Firepower Management Center
  • Cisco SocialMiner
  • Cisco StarOS for ASR 5000 Series Routers

El primer problema considerado de gravedad alta afecta al software Cisco Virtualized Packet Core−Distributed Instance (VPC−DI) en el tratamiento de entrada de paquetes UDP. Podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio (CVE-2017-6678).

También de gravedad alta, múltiples desbordamientos de búfer en Cisco WebEx Network Recording Player para archivos Advanced Recording Format (ARF). Mediante un archivo ARF malicioso un atacante podría conseguir la ejecución remota de código arbitrario (CVE-2017-6669).

La tercera vulnerabilidad de gravedad alta, con CVE-2017-6662, afecta a la interfaz web de Cisco Prime Infrastructure (PI) y Evolved Programmable Network Manager (EPNM) por el tratamiento de Entidades Externas XML (XXE). Podría permitir a un atacante remoto autenticado leer y escribir el acceso a la información almacenada en el sistema afectado, así como lograr la ejecución de código.

Otros problemas de gravedad media son:
  • Denegación de servicio en Cisco Wide Area Application Services
  • Autenticación sin cifrar en Cisco Unified Contact Center Express
  • Cross-Site Scriptings en Cisco Prime Infrastructure Web Framework Code
  • Inyección SQL en Cisco Prime Infrastructure y Evolved Programmable Network Manager
  • Obtención de información de logs en Cisco Prime Collaboration Provisioning Tool
  • Obtención de información sensible en Cisco Prime Collaboration Provisioning Tool
  • Descarga de archives arbitrarios en Cisco Prime Collaboration Provisioning Tool
  • Falsificación de session en Cisco Prime Collaboration Provisioning Tool
  • Cross-Site Scripting en Cisco Identity Services Engine
  • Elevación de privilegios en Cisco IOS XR
  • Inyección de commandos en Cisco IOS XR
  • Cross-Site Scripting en Cisco Firepower Management Center
  • Cross-Site Scripting almacenado en Cisco Firepower Management Center
  • Cross-Site Scripting en Cisco SocialMiner
  • Denegación de servicio en routers Cisco StarOS for ASR 5000


Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.

Más información:

Cisco Security Advisories and Alerts

Cisco Virtualized Packet Core-Distributed Instance Denial of Service Vulnerability

Cisco WebEx Network Recording Player Multiple Buffer Overflow Vulnerabilities

Cisco Prime Infrastructure and Evolved Programmable Network Manager XML Injection Vulnerability


Antonio Ropero
Twitter: @aropero


sábado, 24 de junio de 2017

Actualización para OpenVPN

Se ha anunciado la existencia de múltiples vulnerabilidades en OpenVPN que podría permitir a un atacante obtener información de la memoria o provocar condiciones de denegación de servicio.

OpenVPN es una solución cliente/servidor de túneles VPN tanto para sistemas Linux, Windows, Android o iOS . Ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente, con muy diversas configuraciones. Está publicado bajo la licencia GPL, de software libre.

Guido Vranken, un investigador independiente de seguridad de los Países Bajos, realizó una auditoría sobre el software OpenVPN mediante  un fuzzer encontró cuatro vulnerabilidades de seguridad importantes. Hay que señalar que recientemente se habían realizado dos auditorías del código de OpenVPN y estos problemas no habían sido detectados. En una entrada en su blog analiza técnicamente los problemas descubiertos y señala como una auditoría de código no siempre es la mejor manera de encontrar vulnerabilidades.

Además de las vulnerabilidades reportadas por Guido el equipo de VPN ha incluido la corrección de otros problemas.

El problema considerado más grave, con CVE-2017-7508, reside en el tratamiento de ASSERT() en paquetes IPv6 especificamente construidos. Podría permitir desconectar un servidor o cliente OpenVPN si están habilitados IPv6 y --mssfix y se conocen las redes IPv6 utilizadas en la VPN.

Si los clientes usan un proxy HTTP con autenticación NTLM un atacante MITM entre el cliente y el proxy puede provocar la caída del cliente o la obtención de como máximo 96 bytes de memoria de la pila. Es probable que el bloque de memoria descrito contenga la contraseña del proxy (CVE-2017-7520).

Una vulnerabilidad de doble liberación de memoria en configuraciones que usen la opción --x509-alt-username (CVE-2017-7521). Diversas fugas de memoria explotables remotamente podrían provocar condiciones de denegación de servicio (CVE-2017-7521).

Un cliente remoto autenticado podría provocar condiciones de denegación de servicio mediante el envío de un certificado con un carácter NULL incrustado (CVE-2017-7522). Solo afecta a versiones 2.4 cuando se usa la opción --x509-track.

Por último, una desreferencia de puntero nulo en establish_http_proxy_passthru(). También se han corregido otros problemas con poco o ningún impacto práctico en la seguridad.

OpenVPN ha publicado las versiones 2.4.3 y 2.3.17 que corrigen estas vulnerabilidades. Disponibles desde:

Más información:

Vulnerabilities Fixed In Open VPN 2.4.3

The OpenVPN post-audit bug bonanza



Antonio Ropero

Twitter: @aropero

viernes, 23 de junio de 2017

Continúan los problemas en el motor de análisis de malware de Microsoft

Microsoft ha publicado una nueva actualización para su motor de escaneo de malware incluido en la mayoría de los Windows, para evitar una vulnerabilidad crítica que podría permitir a un atacante tomar el control de los sistemas afectados.

En esta ocasión la vulnerabilidad, con CVE-2017-8558, fue anunciada por Tavis Ormandy, el ya conocido investigador de Google Project Zero.


Según el aviso publicado por Microsoft la vulnerabilidad puede aprovecharse cuando el Microsoft Malware Protection Engine analiza un archivo específicamente creado. Este motor de análisis se emplea en Windows Defender, el analizador de malware preinstalado en Windows 7 y posteriores, así como en otros productos de seguridad de Microsoft como: Microsoft Security Essentials, Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection y Windows Intune Endpoint Protection.

No es el primer problema similar que anuncian los investigadores de Project Zero, este es el tercer reporte en menos de dos meses. Anteriormente Tavis Ormandy ya había reportado un problema y poco después Mateusz Jurczyk (@j00ru) reportó otras ocho vulnerabilidades.

El parche se está instalando en los productos configurados con actualizaciones automáticas. Los usuarios pueden comprobar que la versión es 1.1.13903.0 o posterior. También se puede encontrar información para la instalación manual desde:

Más información:

CVE-2017-8558 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability

MsMpEng: mpengine x86 Emulator Heap Corruption in VFS API

una-al-dia (09/05/2017) Actualización urgente para el motor de análisis de malware de Microsoft

una-al-dia (29/05/2017) Nueva actualización del motor de análisis de malware de Microsoft





Antonio Ropero
Twitter: @aropero





jueves, 22 de junio de 2017

Actualización crítica por vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad en el que se solucionan tres vulnerabilidades que podrían permitir a un atacante obtener o registrar una cuenta de usuario, ejecutar código arbirtrario o acceder a archivos sin autorización.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema más grave, con CVE-2017-6920 y considerado crítico, consiste en un tratamiento inadecuado de objetos PHP por el analizador PECL YAML, que podría permitir la ejecución remota de código. Con CVE-2017-6921, considerada menos crítica una vulnerabilidad debida a que el archivo de recursos REST no valida adecuadamente algunos cambios al manipular archivos. Solo afecta a sitios con el módulo RESTful Web Services (rest) activo, el archivo de recursos REST esté habilitado y permita peticiones PATCH. Un atacante podrá conseguir o registrar una cuenta de usuario con permisos para subir archivos y modificar el archivo de recursos. Estas dos vulnerabilidades solo afectan a Drupal 8.

Por último, con CVE-2017-6922 y considerada moderadamente crítica, un problema que podría permitir a usuarios anónimos acceder a archivos subidos por otros usuarios anónimos a un sistema de archivos privado. Afecta a Drupal 7 y Drupal 8.

Se recomienda la actualización a las versiones Drupal core 7.56 o Drupal core 8.3.4

Más información:

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003

drupal 7.56

drupal 8.3.4



Antonio Ropero
Twitter: @aropero


miércoles, 21 de junio de 2017

Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas  de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶

Fixed in Apache httpd 2.2.33-dev

Fixed in Apache httpd 2.4.26

Changes with Apache 2.4.26

CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass

CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference

CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread

CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread

CVE-2017-7659: mod_http2 null pointer dereference

Antonio Ropero
Twitter: @aropero


martes, 20 de junio de 2017

Importante vulnerabilidad en sistemas Linux y *NIX

Bajo el nombre de "Stack Clash" se ha anunciado una vulnerabilidad que afecta a sistemas Linux, OpenBSD, NetBSD, FreeBSD y Solaris que puede permitir a un atacante local conseguir privilegios de root en los sistemas afectados.

Un grupo de investigadores de Qualys han descubierto el problema y han desarrollado siete exploits y otras tantas pruebas de concepto para demostrarlo, además han trabajado con los fabricantes para desarrollar los parches necesarios.

La base del problema no es nueva, los investigadores de Qualys se remontan a una antigua cuestión: 

"Si el montón crece hacia arriba y la pila
crece hacia abajo, ¿qué sucede cuando
chocan? ¿Es explotable? ¿Cómo?.
"

De esta forma la vulnerabilidad reside en el uso de la pila, y el crecimiento de este espacio de memoria por necesidades del programa. Si crece demasiado y se acerca demasiado a otra región de memoria, el programa puede confundir regiones de memoria y un atacante puede explotar esta confusión para sobrescribir la pila con la otra región de memoria, o al revés.

La vulnerabilidad afecta a todos los sistemas Linux, OpenBSD, NetBSD, FreeBSD o Solaris, en i386 o amd64. Aunque otros sistemas operativos y arquitecturas también pueden ser vulnerables. Los exploits y pruebas de concepto desarrolladas por Qualys permiten la elevación local de privilegios, un atacante con acceso local a un sistema podrá aprovechar esta vulnerabilidad para conseguir acceso de root. Aunque los investigadores de Qualys tampoco descartan la posibilidad de ataques remotos en aplicaciones específicas. Hay que destacar el extenso análisis técnico en el aviso de Qualys.

Según Qualys, la vulnerabilidad en Sudo comentada recientemente también se cataloga dentro de "Stack Clash".

Gracias al aviso responsable de los investigadores y el trabajo con los fabricantes afectados ha permitido que todos los afectados dispongan rápidamente de los parches necesarios para evitar la vulnerabilidad.

Oracle ha publicado un aviso en el que alerta del problema e informa de los parches publicados en:
De forma similar Red Hat también ha publicado una página especial dedicada al problema, por el que se ven afectadas múltiples versiones de sus sistemas:
  • Red Hat Enterprise Linux 5, 6 y 7
  • Red Hat Enterprise MRG 2.5
  • Red Hat Virtualization
  • RHEL Atomic Host 
https://access.redhat.com/security/vulnerabilities/stackguard

Otras distribuciones Linux también han publicado actualizaciones:
SUSE:

Debian:

Ubuntu:

OpenBSD


La lista de exploits y pruebas de concepto desarrolladas:

  • Exploit local para root contra Exim (CVE-2017-1000369, CVE-2017-1000376) en i386 Debian.
  • Exploit local para root contra Sudo (CVE-2017-1000367, CVE-2017-1000366) en i386 Debian, Ubuntu, CentOS.
  • Un exploit independiente Sudoer a root contra CVE-2017-1000367 en distribuciones SELinux.
  • Exploit local para root contra ld.so y la mayoría de binarios SUID-root en i386 Debian, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000370).
  • Exploit local para root contra ld.so y la mayoría de binarios SUID-root en amd64 Debian, Ubuntu, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000379).
  • Exploit local para root contra ld.so y muchos SUID-root PIEs en i386 Debian, Ubuntu, Fedora (CVE-2017-1000366, CVE-2017-1000371).
  • Exploit local para root contra /bin/su (CVE-2017-1000366, CVE-2017-1000365) en i386 Debian
  • Prueba de concepto contra Sudo en i386 grsecurity/PaX que consigue control EIP (CVE-2017-1000367, CVE-2017-1000366, CVE-2017-1000377);
  • Prueba de concepto local contra Exim que consigue control RIP (CVE-2017-1000369) en amd64 Debian.
  • Prueba de concepto contra /usr/bin/at en i386 OpenBSD (CVE-2017-1000372, CVE-2017-1000373).
  • Prueba de concepto para CVE-2017-1000374 y CVE-2017-1000375 en NetBSD
  • Prueba de concepto para CVE-2017-1085 en FreeBSD 
  • Dos pruebas de concepto para CVE-2017-1083 y CVE-2017-1084 en FreeBSD 
  • Exploit local para root contra /usr/bin/rsh (CVE-2017-3630, CVE-2017-3629 y CVE-2017-3631) en Solaris 11.

Más información:

The Stack Clash

Oracle Security Alert for CVE-2017-3629

una-al-dia (02/06/2017) Elevación de privilegios por vulnerabilidad en Sudo

Stack Guard Page Circumvention Affecting Multiple Packages




Antonio Ropero
Twitter: @aropero

lunes, 19 de junio de 2017

Vulnerabilidades de Cross-Site Scripting en FortiOS

Fortinet ha confirmado dos vulnerabilidades en FortiOS, el sistema operativo empleado en sus sistemas, que podrían permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting. 

Como es habitual en este tipo de ataques los problemas (con CVE-2017-7734 y CVE-2017-7735) residen en un filtrado inadecuado de los datos antes de ser devueltos al usuario. Concretamente, a través del parámetro "Comments" mientras se graban revisions de configuración y en el parámetro "Groups" mientras se crean o editan grupos de usuarios. Esto podría facilitar a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script en el contexto de seguridad del navegador de la víctima autenticada.

Al igual que todo este tipo de ataques podría permitir acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ven afectadas las versiones FortiOS 5.2.0 a 5.4.4. Fortinet recomienda la actualización a la versión FortiOS 5.4.5 o 5.6.0.
.

Más información:

FortiOS XSS vulnerabilities via User Groups & Config Revision Comments





Antonio Ropero
Twitter: @aropero

domingo, 18 de junio de 2017

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante ejecutar código arbitrario en los sistemas afectados.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-9502, reside en un desbordamiento de búfer en el tratamiento de URLs 'file:' específicamente creadas y que podría permitir la ejecución de código arbitrario. El vulnerabilidad se da cuando una URL 'file:' sin el '//' que sigue a los dos puntos, o bien los sistemas configurados para usar 'file' como protocolo por defecto para las URLs que no especifican el protocolo y la ruta dada comienza con una letra de unidad (por ejemplo, 'C'). Dada la naturaleza de la vulnerabilidad se ven afectados los sistemas basados en DOS y Windows.

Se ven afectadas las versiones libcurl 7.53.0 hasta la 7.54.0 (incluidas).

Se ha publicado la versión 7.54.1 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
También se ha publicado un parche para evitar la vulnerabilidad:

Más Información:

cURL and libcurl

URL file scheme drive letter buffer overflow


Antonio Ropero

Twitter: @aropero

sábado, 17 de junio de 2017

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir cinco nuevas vulnerabilidades.

El navegador se actualiza a la versión 59.0.3071.104 para Windows, Mac y Linux. Como es habitual Google no facilita información de todos los problemas corregidos. En esta ocasión confirma la corrección de cinco nuevas vulnerabilidades aunque únicamente facilita información de tres de ellas (dos de ellas de gravedad alta).

De gravedad alta se ha solucionado una fuga de la sandbox en IndexedDB (CVE-2017-5087) y una lectura de memoria fuera de límites en V8 (CVE-2017-5088). Y de gravedad media una falsificación del dominio en Omnibox (CVE-2017-5089). Y como es habitual del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas.

Según la política de la compañía una de las vulnerabilidades corregidas ha supuesto 16.500 dólares en recompensas a los descubridores de los problemas.


Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update for Desktop


Antonio Ropero
Twitter: @aropero

viernes, 16 de junio de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar dos vulnerabilidades (una considerada de gravedad crítica y otra de importancia media).

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad de gravedad crítica, con CVE-2017-3141, reside en que el instalador de BIND en Windows usa una ruta sin comillas lo que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a versiones 9.2.6-P2 a 9.2.9, 9.3.2-P1 a 9.3.6, 9.4.0 a 9.8.8, 9.9.0 a 9.9.10, 9.10.0 a 9.10.5, 9.11.0 a 9.11.1, 9.9.3-S1 a 9.9.10-S1 y 9.10.5-S1.

Por otra parte, con CVE-2017-3140, si named está configurado para emplear Response Policy Zones (RPZ) un error al procesar algunas reglas puede dar lugar a una condición en la que BIND cae en un bucle sin fin mientras trata una consulta. Afecta a versiones 9.9.10, 9.10.5, 9.11.0 a 9.11.1, 9.9.10-S1 y 9.10.5-S1.

Además, por problemas de integración con el uso de LMDB en BIND 9.11.0 and 9.11.1 el ISC recomienda desactivar LMDB, hasta la publicación de BIND 9.11.2 (en julio o agosto).

Se recomienda actualizar a las versiones más recientes BIND 9 versión 9.9.10-P1, 9.10.5-P1 y 9.11.1-P1, disponibles en:

Más información:

CVE-2017-3141: Windows service and uninstall paths are not quoted when BIND is installed

CVE-2017-3140: An error processing RPZ rules can cause named to loop endlessly after handling a query

Operational Notification: LMDB integration problems with BIND 9.11.0 and 9.11.1



Antonio Ropero

Twitter: @aropero