La utilidad NTOP incluye un microservidor web que, activado, permite
que cualquier usuario con un navegador y con el conocimiento de la
clave correcta pueda visualizar la salida de NTOP de forma remota y en
tiempo real.
NTOP es una utilidad que permite visualizar en tiempo real los
usuarios y aplicaciones que están consumiendo más recursos de red en
un instante concreto, de la misma manera que la utilidad TOP muestra
los procesos que estan consumiendo más CPU o memoria.
NTOP permite lanzar un microservidor web que, si bien está protegido
con una clave, no comprueba la existencia de “..” en el PATH que se
le está solicitando, por lo que un atacante puede leer cualquier
fichero del sistema para el que el usuario que lanzó NTOP tenga
privilegios de lectura.
Por otra parte, si el fichero de control de acceso no existe,
cualquier usuario con un navegador puede acceder a NTOP. Lo correcto
sería que si el fichero de acceso no existe, o bien se deniegue el
acceso a todo el mundo, o bien NTOP debe “quejarse” al ser invocado
con la orden de activar el microservidor web.
Algunos informes señalan que bajo determinadas circunstancias, NTOP
puede permitir ejecutar código arbitrario con los privilegios de ROOT,
ya que parecen haberse descubirto numerosos problemas de “buffer
overflow” y NTOP debe ser ejecutado como “root” (o ser SETUID a
“root”) para que pueda analizar el tráfico de red.
Las versiones de NTOP vulnerables son las anteriores a la 1.3.1, al
menos. La recomendación es eliminar el SETUID (bandera “+s”) de NTOP,
de forma que sólo sea ejecutable por “root”, y no emplear nunca la
opción de microservidor web.
jcea@hispasec.com
Más información:
Linux ntop Unauthorized File Retrieval Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1550
ntop -w Buffer Overflow Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1576
Deja un comentario