Internet Security Systems (ISS) ha descubierto un agujero de seguridad
en diversos productos de Webtrends que permite acceder a los nombres
de usuarios y sus respectivas passwords de determinadas cuentas.
La mayoría del software de WebTrends tiene la capacidad de ejecutarse
como un servicio de Windows NT, y/o utilizar un perfil MAPI para enviar
informes a través de email. Todos los programas que se han demostrado
vulnerables almacenan las cuentas y contraseñas, tanto de los servicios
NT como del perfil MAPI, en un fichero cuyos permisos hacen que sea
accesible por cualquier usuario (Everyone: Full Access).
Tanto un atacante local como remoto pueden descubrir el usuario y la
password del servicio, que, por definición, tendrá privilegios de
administrador, así como del perfil utilizado para enviar los emails
a través de MAPI. Aunque estos datos son almacenados de forma cifrada
en el fichero WebTrend.ini, se ha demostrado que el algoritmo de
encriptación utilizado es muy débil, por lo que resulta fácil invertirlo
y obtener los datos originales en texto claro.
Los productos vulnerables son: WebTrends for Firewalls v1.2, WebTrends
Security Analyzer v2.0, WebTrends Professional Suite v3.01, WebTrends
Log Analyzer v4.51, y WebTrends Enterprise Suite v3.5. Para que puedan
verse afectados, debe tratarse de las versiones para Windows NT, y
tienen que tener habilitadas las características de servicios NT y/o
el uso de MAPI para el envío de informes.
Hay que destacar que muchos de estos programas están orientados a
soportar y proveer servicios de seguridad informática, por lo que si
cabe aumenta los posibles riesgos, ya que se supone que estarán en
sistemas donde la seguridad juega un papel destacado.
Se recomienda encarecidamente la actualización a las nuevas versiones
de estos productos, que incluyen un algoritmo de cifrado de 128 bits:
WebTrends for Firewalls v1.2b Build 4163, WebTrends Security Analyzer
v2.1a Build 8043, WebTrends Professional Suite v3.01a Build 4053,
WebTrends Log Analyzer v4.51a Build 4108, y WebTrends Enterprise
Suite v3.5a Build 4212.
En el caso de que no se pueda proceder a la actualización de estas
versiones, se aconseja el deshabilitar las opciones de servicio NT y
envíos vía MAPI. Otra medida a adoptar consiste en modificar los
derechos sobre el fichero que contiene las passwords, para evitar
que cualquiera pueda tener acceso a él. Para lograrlo, bastará con
llegar hasta él a través del Explorador de Windows, hacer click con
el botón derecho en el fichero WebTrends.ini, elegir en el menú la
opción Propiedades, seleccionar la pestaña de Seguridad, y por último
hacer click en el botón de Permisos. A continuación se nos abrirá la
ventana de diálogo donde podremos borrar la entrada que permitía el
acceso a todos los usuarios, y añadirle derechos totales al grupo de
administradores.
Más información:
ISS: http://www.iss.net/xforce/
Security Focus: http://www.securityfocus.com/level2/bottom.html?go=vulnerabilities&id=513
Deja una respuesta