IBM ha publicado un aviso de seguridad, en el que se informa que las
versiones de la rama 6.x de Lotus Domino son susceptibles de sufrir un
ataque de denegación de servicio. La versión 5.0.13 también es vulnerable.
Lotus Domino es un conocido servidor de trabajo colaborativo muy
empleado en ámbitos empresariales, que abastece a aplicaciones cliente
del tipo Lotus Notes, y en el que es posible además integrar
aplicaciones de todo tipo. Los orígenes de Domino se remontan a las
versiones primitivas de Lotus Notes Server, desarrollado originalmente
por Lotus Development Corporation. En la actualidad es un producto
desarrolado y mantenido por International Business Machines Corporation
(IBM).
El problema provoca que, bajo ciertas condiciones no del todo
especificadas, un atacante pueda ensamblar un mensaje malicioso que
colapse en el servicio de enrutado (nrouter.exe) del servidor, al
extremarse el consumo de CPU en un intento de entrega que
nunca tendrá éxito. A consecuencia de la denegación, los mensajes de
correo posteriores al malicioso quedarán detenidos en cola y no serán
entregados hasta que el mensaje bloqueante sea eliminado, lo que plantea
serios problemas de continuidad. Los mensajes maliciosos deben contener
una petición de reunión en formato vCal para provocar el éxito de la
acción atacante.
La vulnerabilidad puede ser calificada como crítica, ya que es posible
forzar la denegación remotamente. Teniendo en cuenta que Lotus Domino es
un producto casi exclusivamente presente en organizaciones y que suele
ser punto de entrada a sistemas de gestión de diversa índole, es
conveniente tratar la amenaza como un factor de riesgo de criticidad
elevada. Es importante notar que, en caso de recibir un mensaje
malicioso, el problema no quedará resuelto con el mero hecho de
reiniciar el servidor, ya que el mensaje originante seguirá en cola y
seguirá taponando los envíos posteriores.
La explotación de la vulnerabilidad puede conducir a la denegación total
del servidor Domino, y por tanto, a la ruptura de la continuidad de los
servicios que pendan de él.
La recomendación más plausible que podemos emitir es instar a los
administradores de soluciones Domino a que actualicen sus versiones con
la máxima premura. El equipo de soporte de IBM confirma que las
versiones 6.5.4 Fix Pack 1, 6.5.5, y 7.0 son seguras, y carecen de este
problema.
A comienzos de año, nos hicimos eco de un problema similar, con
más implicaciones de seguridad que el descrito, con lo que recomendamos
a aquellos administradores con servidores Lotus en producción o
mantenidos a efectos históricos revisen todos los boletines pendientes
para certificar que su grado de exposición ante los problemas
documentados queda totalmente mitigado.
Aprovechando las tareas de mantenimiento, los administradores Lotus
pueden hacer uso del tutorial oficial de dimensionado de
infraestructuras de correo, publicado en
http://www.ibm.com/developerworks/lotus/library/domino-mail-sizing/ como
medida complementaria al aseguramiento del funcionamiento adecuado del
servidor.
shernando@hispasec.com
Más información:
Lotus Domino SMTP-based Denial of Service vulnerability
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21211952
IBM Lotus. Información del fabricante
http://www.ibm.com/software/lotus
IBM Lotus. Recursos para desarrolladores
http://www.ibm.com/developerworks/lotus
IBM Lotus. Seguridad
http://www.ibm.com/developerworks/lotus/security
Central de actualizaciones de IBM
http://www.ibm.com/software/lotus/support/upgradecentral/index.html
Hispasec Sistemas. Vulnerabilidades en Domino (Enero de 2006)
http://www.hispasec.com/unaaldia/2634
Deja una respuesta