Ultraseek de Infoseek, el conocido software utilizado para la búsqueda
de documentos en servidores, está afectado por un buffer overflow que
permite a un atacante la ejecución de código arbitrario de forma remota.
Hasta el momento se han comprobado que son vulnerables las versiones
2.1 y 3.1 para Windows NT.
El ataque contra los servidores se puede llevar a cabo a través del
puerto 8765, donde Infoseek escucha vía peticiones HTTP las órdenes
de búsqueda. El código del programa que maneja los comandos GET
no chequea un buffer, lo que permite que pueda ser desbordado y
provocar la denegación del servicio. El problema se agrava al ser
posible explotar este buffer overflow para ejecutar código arbitrario
de forma remota, con lo que se puede realizar cualquier tipo de
acción en el servidor afectado.
Para comprobar la existencia de Infoseek en un servidor podemos
realizar lo siguiente:
C:\>telnet http://www.servidor.com 8765
enviar-> HEAD / HTTP/1.0
recibe-> HTTP/1.0 200 OK
recibe-> Server: Ultraseek/3.1 Python/1.5.1
recibe-> Date: Thu, XX Dec 1999 23:59:42 GMT
recibe-> Content-type: text/html
recibe-> Content-length: 0
El ataque consiste en enviar, a través de este mismo puerto, un
comando GET con una cadena excesivamente larga. La acción puede
pasar, en principio, desapercibida de cara al servidor, ya que
no muestra ningún mensaje de error en pantalla. Lo que habrá
sucedido, de forma interna, es que uno de los dos servicios
«dpyseekd.exe» de Ultraseek se habrá reiniciado, lo que podemos
detectar al comprobar como su PID ha cambiado.
Además de esta característica, que lo convierte en un ataque
difícil de detectar a primera vista, debemos de sumar que no
queda registrada en el servidor la IP del atacante que ha
provocado el buffer overflow, lo que dificulta su seguimiento.
Se recomienda a todos los sistemas afectados que instalen,
de forma inmediata, el parche puesto a disposición por Infoseek
para subsanar este problema:
http://software.infoseek.com/products/ultraseek/upgrade_nt.htm
ftp://ftp.infoseek.com/pub/software/ultraseek-3.1.5.exe
Mas información:
USSR & eEye Present Infoseek Ultraseek Remote Buffer Overflow
antonio_roman@hispasec.com
Deja una respuesta