martes, 31 de enero de 2012

2011 el año más activo en malware para MAC


Intego, ha sacado su informe del año 2.011 sobre seguridad en Mac, que se puede descargar en Inglés desde aquí.
En él, afirma que a pesar de que los ataques contra el sistema operativo de Apple y sus equipos Mac no son ni de lejos tan frecuentes como los que sufre Windows, ya no es inmune al malware y deben empezar a tener más cuidado y prestar atención a las amenazas que puedan ir apareciendo (especialmente a las relacionadas con la ingeniería social).

Intego, divide el año en dos partes: antes del día 2 de Mayo y después de esta fecha. Ese día Intego descubrió el falso antivirus MacDefender, el cual usaba sofisticados engaños de ingeniería social que se han mostrado efectivos en la plataforma Windows para engañar a usuarios Mac que, evidentemente, se encontraron indefensos ante esta situación. Además, fue creado en Java, con la clara intención de llegar a todas las plataformas posibles como Linux y Windows además de Mac.

Poco tiempo después y mientras iban apareciendo diversas variantes, Apple confirmaba que estaba recibiendo miles de llamadas de usuarios que, al igual que en el ataque expuesto en el post anterior, fueron convencidos para que instalaran el software malicioso. 

Intego ha descubierto además, una herramienta diseñada para arrancar Macs y usarlos para realizar ataques DDoS.  

Todo esto hace indicar que el auge de los sistemas operativos de Apple (iOS, Mac OS X) y de Google (Android) han conseguido llamar la atención de todos aquellos programadores que se dedican a crear software malicioso y que esto puede ser solamente el principio.

¿Estarán preparados los usuarios de Mac para el más que presumible incremento de ataques destinados a sus "exclusivos" equipos durante los próximos años y a los que hasta ahora habían sido poco menos que inmunes al sufrir solamente ataques "básicos" que no les hacían daño?. ¿Influirá eso en su decisión de comprar Mac o serán fieles a su diseño, su exclusividad y su excelente rendimiento a pesar de no ser ya "invulnerables"?

Otro Malware para Android afecta a 5 millones de dispositivos


Hace varios días salta la noticia de que un nuevo malware de Android podría haber afectado a más de 5 millones de dispositivos. 
Desde Symantec, ofrecen un informe en el que dicen que el malware, bautizado como Android.Counterclank, ha sido localizado en el Android Market en las siguientes aplicaciones:

PublisherMalicious App TitleCategory
iApps7 IncCounter Elite ForceArcade & Action
iApps7 IncCounter Strike Ground ForceArcade & Action
iApps7 IncCounterStrike Hit EnemyArcade & Action
iApps7 IncHeart Live WallpaperEntertainment
iApps7 IncHit Counter TerroristArcade & Action
iApps7 IncStripper Touch girlEntertainment
Ogre GamesBalloon GameSports Games
Ogre GamesDeal & Be MillionaireSports Games
Ogre GamesWild ManArcade & Action
redmicappsPretty women lingerie puzzlePhotography
redmicappsSexy Girls Photo GameLifestyle
redmicappsSexy Girls PuzzleBrain & Puzzle
redmicappsSexy Women PuzzleBrain & Puzzle

El malware, es una modificación menor de Android.Tonclank, que requiere de la colaboración del usuario (autorizando todos los privilegios que requieren las aplicaciones para instalarse), parece ser que recoge gran cantidad de información que luego envía a un servidor remoto como copias de bookmarks o datos del fabricante del teléfono (IMEI, Dirección MAC, IMSI, Número de serie de la SIM) tal y como se puede ver en la siguiente imagen.



¿Cómo es posible que haya llegado tan lejos teniendo tantas elevaciones de privilegios en los dispositivos que deben ser aceptadas por los usuarios?. Pues por eso mismo, el mejor aliado de este malware han sido los propios usuarios de Android, que no se han parado a leer los permisos que se le solicitan, simplemente aceptaron todos los mensajes. 

Con las nuevas tecnologías implementadas a los teléfonos móviles, estos han dejado de ser móviles para convertirse en pequeños ordenadores y como tales están expuestos a todos esos programadores que se dedican a querer estafar a la gente mediante la elaboración de programas maliciosos. 

Por eso, se debería de instruir a los usuarios (por parte de las operadoras, de los fabricantes...), concienciar a todas aquellas personas que usan / usamos este tipo de dispositivos, de que hoy en día el malware no afecta solamente a los PCs de sobremesa o portátiles con sistemas operativos Microsoft Windows, sino que cada vez más están afectando a sistemas operativos que están aumentando su presencia en dispositivos móviles como Android o iOS. Y, sobretodo, que antes de aceptar esas peticiones de elevación de privilegios, se debe leer lo que piden y valorar los riesgos que puede representar aceptar esas elevaciones.

miércoles, 25 de enero de 2012

Brecha de seguridad en Linux permite escalar privilegios

Nuevamente desde CSO Spain, me llega la noticia de que una brecha de seguridad que se introdujo en el código del kernel de Linux en Marzo de 2.011 y que afecta a las versiones 2.6.39 y posteriores está siendo parcheada ahora por los distribuidores de Linux, por lo que cualquier distribución Linux con estas versiones de kernel es o podría ser vulnerable.

Concretamente, el fallo de la vulnerabilidad CVE-2012-0056 lo que permite es escalar privilegios a un atacante y acceder a la ruta del sistema.

Linus Torvalds había desarrollado el parche para esta vulnerabilidad el pasado día 17 de Enero, pero... antes de que los distribuidores Linux pudieran aplicar el parche ya habían aparecido exploits que se aprovechaban de esta vulnerabilidad.

Ubuntu y Red Hat ya han liberado el parche para corregir dicha vulnerabilidad, ¿tardarán mucho más el resto de distribuidores Linux en sacar el parche?. Ya veremos.

Eso sí, es muy importante que se actualicen inmediatamente aquellos sistemas que se basen en las versiones de kernel 2.6.39 o superiores y que cuenten ya con el parche a disposición de los usuarios.

¿Un Megaupload de Anonymous?... Va a ser que no


Desde CSO Spain, hoy llegaba la noticia de que desde una web usaban el nombre de Anonymous para crear un portal que podría estafar y comprometer datos de los usuarios.

Dentro de la noticia, se decía que Anonyupload adopta la denominación de Anonymous, en lo que parece un intento de que la gente confíe en la web, donen su dinero y usen los servicios que ofrecen en esta web. Sin embargo Anonymous ha negado su vinculación con dicho portal web y varias empresas de seguridad ya han alertado sobre la potencial peligrosidad de este sitio. 

Sin embargo, al entrar en la web aparece lo que se puede ver en esta captura de pantalla:


Donde dice claramente, que esta web es 100% Libre, sin anuncios, 100% Anónimo.

También dice que defienden una internet libre, apoyan a Antonymous, pero no son miembros de Anonymous.

Algo que nuevamente repiten en el recuadro que se ve abajo: No somos miembros de Anonymous, pero defendemos el anonimato.

¿Quizás el error de la web es haberse nombrado como AnonyUpload?.¿La han nombrado sus creadores así con el fin de intentar captar la atención de la gente asociando el nombre de la web con el del grupo de piratas informáticos Anonymous?.¿Es realmente una estafa y solamente pretenden engañar a la gente?.¿Han modificado su portada porque le han llegado noticias de que se está planteando que solamente intentan estafar a la gente y se defienden así?.¿Se han querido aprovechar también del cierre de MegaUpload para crear una web que se asocie de alguna manera tanto con Anonymous como con MegaUpload para cometer una estafa a gran escala?.

Sinceramente, no huele demasiado bien, pero tampoco se puede asegurar al 100% de que la web sea una estafa, aunque lo mejor será al menos durante un tiempo, ir viendo si la web sigue adelante, si hay o no casos de malware, spam o cualquier otro tipo de denuncia asociado a esta web o si por el contrario se convierte en una más de las web de descargas que todavía quedan activas y que quieren captar una parte del pastel que ha dejado libre Megaupload.

Seguiremos atentos a las noticias relacionadas con este sitio web.

viernes, 20 de enero de 2012

Symantec admite casi 6 años después un ataque

Ayer, día 19 de Enero de 2.012 y que será recordado por haberse producido el cierre de Megaupload por parte del FBI, así como todas las páginas Mega-algo asociadas, sale también una noticia bastante curiosa:  Symantec admite que sufrió un ataque en 2006 en el que unos piratas accedieron a parte del código de su producto estrella: Norton, así como a otros tres productos más (según informan desde CSO Spain).

La semana pasada Symantec lo confirmaba en su página de Facebook, aunque en un principio afirmaba que el ataque lo habría sufrido una compañía colaboradora y que los piratas no habían accedido directamente a los servidores de la compañía.

No obstante, una semana más tarde, Symantec confirma que tras investigar lo sucedido que efectivamente el ataque se había producido a sus propios servidores y no había sido descubierto hasta ahora, cuando los piratas han publicado parte del código de Norton.

Eso sí, el código fuente robado es de la versión del producto de 2.006, por lo que podría no tener especial incidencia en la actualidad, aunque desde la compañía han informado que están investigando a fondo el alcance del ataque y la información sustraída para ver qué acciones deben llevar a cabo y en caso de ser necesario elaborar un producto que mitigue las posibles consecuencias derivadas de un uso malicioso de este código e intentar evitar que pueda ser usado para anular el antivirus y provocar diversos ataques a los sistemas que tengan instalados sus productos.



jueves, 19 de enero de 2012

Ataques a las bolsas de valores de Arabia Saudí y Abu Dhabi



Al parecer, un grupo de hackers israelíes que se hacen llamar IDF-Team, ha lanzado un ataque contra las páginas web de la bolsa de valores de Arabia Saudí y Abu Dhabi. Todo apunta a que este ataque es la respuesta al que un grupo de hackers de Arabia Saudí lanzara contra la web de la bolsa de Tel Aviv, la compañía aérea El Al y diferentes bancos de Israel, entre ellos el banco Leumi y que fue calificada de una ciberofensiva contra su estado por parte del Gobierno Israelí.

Desde Arabia Saudí, se asegura que los ataques no tuvieron éxito, ya que las web están operativas. Mientras, desde Israel, afirman que aunque efectivamente ahora las webs están operativas, estas estuvieron fuera de servicio durante varias horas.

Y este no es el primer conflicto que se mantiene entre hackers de estas nacionalidades, ya que la raíz del problema parece estar en la publicación por parte de hackers saudís de datos de tarjetas de crédito de ciudadanos israelíes en internet. La respuesta no se hizo esperar y pocas horas más tarde, un hacker israelí, que se hace llamar Hannibal publicó unas 30.000 direcciones de correo electrónico y contraseñas de usuarios de Facebook de origen saudí.

Además, parece que el conflicto no se quedará aquí, ya que IDF-Team ya ha advertido que van a continuar con sus ataques y que próximamente paralizaran estos sitios web durante varias semanas.

Mientras, el anteriormente mencionado Annibal, dice estar dispuesto a publicar los datos de 10 millones de cuentas bancarias y 4 millones de datos de tarjetas de crédito árabes, si el primer ministro israelí declara una ciber-guerra.

Así pues... parece seguro que el conflicto no se quedará aquí y que seguirá evolucionando. Veremos a ver en qué queda todo esto y las repercusiones finales de algo que ha empezado en la red. ¿Se quedará en la red o evolucionará a un nivel mayor fuera de ella?.

Vulnerabilidad en el DHCP del Internet Systems Consortium


El DHCP (Dynamic Host Configuration Protocol) de ICS, la implementación de software libre más usada en el mundo de DHCP ha sido actualizado a la versión 4.2.3-P2, tras detectar una vulnerabilidad que provoca una denegación de servicio. 

El problema se presenta concretamente, en la funcionalidad de registros cuando trabaja conjuntamente con direcciones IPv6 y DNS dinámicos (DDNS), pues las versiones anteriores de ISC DHCP no manejan correctamente la estructura de concesiones de DHCPv6, lo que podría provocar que un atacante causara una denegación de servicios mediante el uso de paquetes especialmente manipulados relacionados con la actualización del estado de la concesión de direcciones.

DHCP (Dynamic Host Configuration Protocol o Protocolo de configuración dinámica de hosts) es un protocolo de red que permite a los clientes de una red obtener sus parámetros de configuración de forma automática (IP, DNS, Puerta de enlace, etc...) y fue introducido por Microsoft en su servidor Windows NT 3.5 en el año 1.994.

Más tarde, en 1.997, ISC publicó la versión ISC DHCP 1.0.0 para Unix.

miércoles, 18 de enero de 2012

Web de T-Mobile Hackeada

Un grupo de hackers, probablemente asociados con Anonymous, ha publicado información personal de alrededor de 80 empleados de la compañía T-Mobile, aparentemente explotando algunos fallos de seguridad de la web.

El grupo, que se hace llamar TeaMp0isoN, ha publicado en la web Pastebin nombres, correos electrónicos, números de teléfono y contraseñas de los empleados tras un ataque realizado la semana pasada a T-Mobile.
TeaMp0isoN dice que las contraseñas "parecían ser proporcionadas a los usuarios de forma manual por un administrador que contaba con el mismo grupo de contraseñas".

Al parecer, ha sido mediante la técnica de SQL Injection (a los sitios t-mobile.com y newsroom.t-mobile.com) como han obtenido la información y la razón del ataque, según ha dicho uno de los miembros del grupo, ha sido por apoyar la ley "Big Brother Patrior Act", así como que "son corruptos" y "querían demostrar el tipo de seguridad que tenían". 

Mientras, desde la compañia, han asegurado que sus clientes no se han visto afectados de manera alguna por el ataque. 

Lo más triste del caso es que esas contraseñas son, tal y como se puede apreciar en la página web de Pastebin, bastante fáciles de averiguar con un ataque de "fuerza bruta" en un corto espacio de tiempo (112112 - la más extendida -, o pass son dos de las contraseñas que tenían los usuarios) y si me apuráis sin tan siquiera con un ataque de "fuerza bruta", por lo menos la de pass

Algo totalmente inaceptable para una compañía de la importancia de T-Mobile. ¿No os parece?. 

Y menos aún, cuando la persona al cargo de la seguridad corporativa de T-Mobile los dos últimos años (William Boni), es miembro del Security for Business Innovation Council y considerado como uno de los "16 mejores o más brillantes expertos en seguridad del mundo" según reza al principio de la página de RSA que se puede ver en el enlace anterior.

Sin lugar a duda, parte de su equipo no puede entrar dentro de esa categoría en la que a él se le incluye.

Oracle saca actualizaciones para más de 70 vulnerabilidades


Oracle ha sacado hoy actualizaciones para múltiples vulnerabilidades (más de 70) que afectan a una gran variedad de productos y la recomendación de que se actualicen los productos afectados a la mayor brevedad posible.

También informa que las actualizaciones de los productos Oracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Base Platform (formerly "Oracle Enterprise Manager Grid Control"), Oracle E-Business Suite Applications, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications, PeopleSoft Enterprise PeopleTools, Siebel Enterprise, Oracle Industry Applications and Oracle VM son acumulativas, es decir, que incluyen todos los parches anteriores.

Tanto la lista de productos afectados, como los parches y las recomendaciones antes de realizar la instalación de los mismos, pueden verse en esta web.

El número de vulnerabilidades resueltas supera las 70 y tienen los siguientes identificadores:

CVE-2011-2262, CVE-2011-2271, CVE-2011-2317, CVE-2011-2321, CVE-2011-2324, CVE-2011-2325, CVE-2011-2326, CVE-2011-3192, CVE-2011-3509, CVE-2011-2514, CVE-2011-3524, CVE-2011-3531, CVE-2011-3564, CVE-2011-3565, CVE-2011-3566, CVE-2011-3568, CVE-2011-3569, CVE-2011-3570, CVE-2011-3571, CVE-2011-3573, CVE-2011-3574, CVE-2011-4516, CVE-2011-4517, CVE-2011-5035, CVE-2012-0072, CVE-2012-0073, CVE-2012-0074, CVE-2012-0075, CVE-2012-0076, CVE-2012-0077, CVE-2012-0078, CVE-2012-0079, CVE-2012-0080, CVE-2012-0081, CVE-2012-0082, CVE-2012-0083, CVE-2012-0084, CVE-2012-0085, CVE-2012-0087, CVE-2012-0088, CVE-2012-0089, CVE-2012-0091, CVE-2012-0094, CVE-2012-0096, CVE-2012-0097, CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0101, CVE-2012-0102, CVE-2012-0103, CVE-2012-0104, CVE-2012-0105, CVE-2012-0109, CVE-2012-0110, CVE-2012-0111, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118, CVE-2012-0119, CVE-2012-0120, CVE-2012-0485, CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493, CVE-2012-0494, CVE-2012-0495 y CVE-2012-0496.

Podéis obtener más información pinchando en cada una ellas. 


martes, 17 de enero de 2012

Whatsapp otra vez en la App Store de Apple


Tras cuatro días retirada de la App Store de Apple (tal y como confirmaba en su twitter el día 13 de Enero - ver la imágen del final del artículo -), WhatsApp ha vuelto hoy, con una nueva actualización, se supone que con los cambios y/o actualizaciones necesarios para ser considerada por Apple como segura.

Teniendo en cuenta que esta aplicación fue retirada por Apple debido a los numerosos fallos de seguridad y que se había enviado una actualización (Supongo que es la 2.6.9.1272, ya que es la que se acaba de instalar en mi teléfono) que estaba a la espera de ser aprobada y que hoy ya se ha instalado la nueva versión, hemos de suponer que ya han sido solucionados estos problemas graves de seguridad que presentaba la aplicación (podéis obtener más información sobre la retirada de la aplicación en el blog de seguridadapple, de los chicos de Informatica64):

- No cifra los mensajes.
- Es posible cambiar el estado de cualquier persona que use WhatsApp.
- Se podía realizar un ataque de fuerza bruta al código de registro de teléfonos y evitarlo.


Lo extraño del caso es que, mientras que confirmaron que no estaba disponible temporalmente en iTunes a través de su cuenta de twitter y que estaban a la espera de que Apple publicara la nueva versión de la aplicación, todavía no han dicho nada sobre que Apple ya la hubiera aprobado y estuviera disponible para su actualización desde la App Store.

Tampoco he encontrado nada, de momento, sobre las nuevas características o actualizaciones que incluye la nueva versión, pero confío en que se hayan corregido las graves vulnerabilidades que se han mencionado anteriormente.


Wikipedia dejará mañana "off-line" su versión inglesa como protesta contra la SOPA y la PIPA



Wikipedia, apagará mañana su versión inglesa durante 24 horas como protesta contra la controvertida Ley Stop Online Piracy Act (iniciativa del Congreso de los Estados Unidos en contra de la piratería) y la Protect IP Act (que se debate en el Senado Norteamericano).

De momento, no se tiene confirmación 100% segura de si otros grandes gigantes de la industria tecnológica como Google, Facebook, Twitter, LinkedIN, Yahoo!, Amazon, eBayBloomberg,  integrantes todos ellos de la plataforma Netcoalition.com seguirán su ejemplo mañana o durante los próximos días, aunque todo parece indicar que así será.

No tengo muy claro qué consecuencias traerá el paro de Wikipedia, pero es fácil imaginar que no será ni la millonésima parte de las que traería este "apagón" si se unieran Google, Facebook... así como alguna/s de las empresas que hemos dicho anteriormente. ¿Un día entero sin poder buscar información en Google en Estados Unidos, o sin poder conectarse cualquier usuario Norteamericano (particular o empresa) a su Facebook o su Twitter?... Los gritos podrían oirse hasta en España. :)

Esperemos a ver qué pasa mañana y las consecuencias de la medida adoptada por Wikipedia: ¿Servirán de algo?. ¿Tomarán ejemplo las autoridades españolas para cambiar o eliminar directamente la famosa "Ley Sinde" (que parece ser similar, o al menos bastante parecida, a la SOPA norteamericana)?¿Habrá alguna empresa española lo suficientemente valiente como para adoptar una medida similar contra la Ley Sinde?.

La esperanza es lo último que se pierde...

Fallos de seguridad en Mambo CMS

Nuevamente desde Hispasec, que como ya he dicho en varias ocasiones, es bajo mi punto de vista una de las mejores empresas españolas relacionadas con la seguridad IT (junto con Informatica64 y otras), llega la noticia de que se han descubierto múltiples vulnerabilidades en el Sistema de Gestión de Contenidos Mambo. Concretamente en su versión 4.6.5 (aunque no se descarta que también se encuentren en versiones anteriores del CMS).

La persona que ha detectado dichas vulnerabilidades ha sido Larry Cashdollar y se puede consultar la publicación en Inglés de estos fallos en esta web.

Los fallos encontrados son los siguientes:

- Método empleado para almacenar las contraseñas: Mambo almacena las contraseñas de la base de datos MySQL en formato texto en la ruta raíz de la web, por lo que puede ser leído por cualquier usuario queda acceda de forma local al equipo.
Además, Mambo también almacena el hash de la contraseña de administrador en el fichero configuration.php y recomienda los permisos 644 para este archivo. Sin embargo, con el fin de obtener una mayor seguridad, los permisos deberían ser 600 (chmod 600 configuration.php) y el propietario del fichero debería ser sobre el que corre el servidor (p.ej: chown wwwrun:www configuration.php)

- No es necesario autenticarse para poder iniciar el proceso de subida de ficheros: Esta vulnerabilidad podría ocasionar una denegación de servicios. Y, aunque el fichero no será almacenado, sí que estaremos consumiendo recursos y ancho de banda del sistema.

- Revelación de ruta a través del error que aparece al acceder a ciertos ficheros incluidos en la distribución. Concretamente,  los scripts php que fallan son los siguientes:


http://<target ip>/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/thumbs.php
& editorFrame.php  editor.php  images.php  manager.php are all busted and return

Warning: require(/var/wwwmambots/editors/mostlyce/jscripts/tiny_mce/auth_check.php) [function.require]: failed to open stream: No such file or directory in /var/www/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/editorFrame.php on line 4

Fatal error: require() [function.require]: Failed opening required '/var/wwwmambots/editors/mostlyce/jscripts/tiny_mce/auth_check.php' (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/editorFrame.php on line 4

lunes, 16 de enero de 2012

Grave vulnerabilidad en HP Diagnostics Server sin solución


El pasado 12 de Enero, Zero Day Initiative, publicó una vulnerabilidad en HP Diagnostics Server (magentservice.exe) que permitiría la ejecución remota de código.

La publicación, se hizo sin que por parte de HP hubiera una solución a la misma, aunque ya han dicho que intentarán tenerla "próximamente", a pesar de que esta vulnerabilidad se le comunicó a HP por parte de Zero Day el pasado 3 de Julio de 2.011 y a día de hoy HP sigue sin sacar una solución al problema.

La vulnerabilidad, permitiría a un atacante la ejecución de código arbitrario en instalaciones vulnerables de HP Diagnostics Server, sin necesidad de autenticación.

El fallo se produce por cómo HP Diagnostics server maneja los paquetes entrantes con 0x00000000 como primer valor de 32bits. El proceso magentservice.exe escucha en el puerto 23472 por defecto. Tomaría el primer dword, lo decrementaría en uno y lo usaría como un valor de tamaño a copiar dentro del búfer de la pila. El resultado basado en el desbordamiento del búfer de la pila, daría como resultado una ejecución remota de código bajo el sistema del usuario.

La recomendación dada, de momento mientras HP saca una solución al problema, pasaría por habilitar un acceso restringido al puerto 23472, limitando se acceso solamente a aquellos equipos en los que se confíe.

Grave vulnerabilidad en McAfee SaaS


El pasado 12 de Enero, desde Zero Day Initiative, informan de una vulnerabilidad reportada a McAfee el 1 de Abril de 2.011 y cuya solución sigue sin estar disponible en la fecha de publicación por parte de Zero Day Initiative: ¡¡más de 9 meses sin darle solución!!.

Esta vulnerabilidad, que afecta al producto Security-as-a-Service de McAfee, permite a atacantes remotos la ejecución de código arbitrario en instalaciones de McAfee Security-as-a-Service vulnerables. La interacción por parte del usuario es necesaria para explotar esta vulnerabilidad en la que el objetivo (el usuario de la aplicación) debe visitar una página manipulada o bien abrir un fichero.

El fallo afecta a la librería myCIOScn.dll. Dentro de esta librería, MyCioScan.Scan.ShowReport() acepta comandos que son pasados a una función que simplemente los ejecuta sin necesidad de autenticación, lo que puede ser aprovechado por un atacante para ejecutar código arbitrario dentro del contexto del navegador.

La vulnerabilidad, como se ha comentado anteriormente, fue puesta en conocimiento de McAfee el 1 de Abril de 2.011, por lo que tras pasar más de 180 días desde que se comunicó a McAfee y siguiendo la política de Zero Day Initiative, se ha publicado sin que, por el momento, exista una solución al problema.

Sin embargo, para mitigar el problema mientras McAfee saca un parche definitivo, podemos modificar DWORD de la siguiente clave de registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7
con el valor 0x00000400.

Esto impide la ejecución de controles ActiveX en Internet Explorer.Para más información podéis visitar: http://support.microsoft.com/kb/240797 


domingo, 15 de enero de 2012

Un fallo podría comprometer la seguridad de routers y puntos de acceso


Nos remontamos al 27 de Diciembre y me hago eco de una vulnerabilidad detectada en el estándar Wi-Fi Protected Setup que podría poner en peligro el PIN de millones de routers Wi-Fi y puntos de acceso e informada por US-CERT.

WPS (Wi-Fi Protected Setup) es un estándar incluido en routers y puntos de acceso WiFi que permite a los usuarios la creación de redes inalámbricas seguras y que implementan dispositivos de las marcas: D-Link, Netgear, Cisco Linksys, Belkin, Buffalo, Technicolor, TP-Link y ZyXEL.

Concretamente, el problema consiste en que el número de intentos que necesitaría un atacante de "fuerza bruta" para determinar la clave de un router o punto de acceso se vería reducido considerablemente, tanto es así que existen herramientas disponibles que aprovechando esta vulnerabilidad podrían recuperar un PIN WPS entre 4 y 10 horas solamente, según informan desde US-CERT

Si deseáis más detalles técnicos de esta vulnerabilidad, podéis consultarlos (en inglés), en la web: http://www.kb.cert.org/vuls/id/723755

La solución pasa por actualizar el firmware del equipo (podéis acceder a más información y el acceso a las posibles actualizaciones pinchando arriba en los nombres de la marca correspondiente a vuestro equipo).

Cross-Site Scripting en Cisco Guard Appliance y Blade

El pasado 2 de Enero, Cisco publica una alerta de seguridad para confirmar una vulnerabilidad que han localizado en su producto Cisco Guard y que podría permitir a un usuario remoto realizar ataques Cross-Site Scripting, enviando a un cliente web de este producto a un sitio web malicioso.

Los productos vulnerables son:

- Cisco Guard Appliance 3.x
- Cisco Guard Blade 4.x
- Cisco Guard Appliance 5.0(3)
- Cisco Guard Appliance 5.1(5)

La solución a esta vulnerabilidad ha sido resuelta en la versión 5.1(6) del código Cisco Anomaly Guard y se recomienda la actualización a esta versión, aunque también se recomienda antes de realizar la actualización consultar la web: http://www.cisco.com/go/psirt

Varias vulnerabilidades en Bugzilla


El pasado 2 de Enero, se anunciaron varias vulnerabilidades en Bugzilla que podrían permitir evadir restricciones de seguridad, realizar ataques de Cross-Site Request Forgery (CSRF) y ataques de Cross-Site Scripting (XSS), según informan desde Hispasec.

Bugzilla es una herramienta de código abierto para el seguimiento de errores en proyectos de software y que es bastante usada en entornos corporativos.
Además, también permite determinar prioridad, severidad de los mismos, agregar comentarios y propuestas de solución, designar los responsables para cada uno de ellos, etc... 

Las vulnerabilidades, concretamente son las siguientes:

- CVE-2011-3657: La falta de comprobación de los parámetros de entrada que se pasan a "chart.cgi" cuando el modo "debug" está habilitado, podría ser explotada por un atacante remoto para llevar a cabo ataques Cross-Site Scripting (XSS).

- CVE-2011-3667: Existe un error que podría ser aprovechado para crear una cuenta de usuario no autorizada, evadiendo las restricciones de seguridad implementadas. El error se debe a que el método "User.offer_account_by_email" no tiene en cuenta el valor "user_can_create_account" del método de autenticación antes de enviar emails para la creación de cuentas nuevas.

- CVE-2011-3668 y CVE-2011-3669: Una vulnerabilidad de falta de comprobación de permisos al crear informes de errores en "post_bug.cgi" y adjuntar archivos en "attachment.cgi" podría permitir a un atacante remotod crear informes de errores y adjuntar archivos no deseados a través de un ataque Cross-Site Request Forgery (CSRF).

- Por último, determinadas entradas que se pasan a "report.cgi" al cambiar el nombre real no son correctamente verificadas antes de utilizarlas, lo que podría provocar que un atacante remoto pudiera insertar código HTML arbitrario y código script.

Las soluciones a estas vulnerabilidades están disponibles para su descarga en la web de bugzilla, concretamente las versiones: 3.4.13, 3.6.7, 4.0.3 y 4.2rc1.

domingo, 1 de enero de 2012

Una vulnerabilidad podría permitir dejar sin servicio a la mayoría de servicios web


Leo el 30 de Diciembre del año pasado (que lejos parece dicho así y eso que hace solamente 2 días... :P) en hispasec, que han descubierto una vulnerabilidad que afecta a casi todas las plataformas de servicios web actuales y que podría permitir la realización de ataques DoS (Denegación de Servicio).
Dicha vulnerabilidad fue presentada por dos investigadores en una conferencia en el congreso Chaos Communication Congress, organizado por el Chaos Computer Club y que se puede ver en YouTube en el enlace: http://www.youtube.com/watch?v=R2Cq3CLI6H8.

El alcance de la vulnerabilidad es tal, que prácticamente es más sencillo decir los lenguajes que no se ven afectados: Perl y CRuby 1.9 que los que sí lo están:

- Microsoft .NET Framework 1.x, 2.x, 3.x y 4.x
- PHP 5.3.x
- Ruby 1.8.x
- Rubinius 1.x
- Rack 1.x
- Oracle GlassFish Server 3.x
- Apache Tomcat 5.x, 6.x y 7.x
- Apache Geronimo 2.x
- Google V8
- Jetty 6.x y 7.x
- Plone 4.x
- JRuby 1.x

Uffffff... casi nada. 

El caso es que parece que el problema es idéntico a uno que ya se descubrió en 2.003 y que afectaba a Perl y por eso no se ve afectado ahora: ya lo tenía solventado desde hace ¡¡8 años!!.

Dado que el problema, además, viene dado porque básicamente todas las plataformas almacenan en tablas hash (una tabla que asocia llaves o claves con valores) los parámetros de las peticiones web, ¿cómo no se les ocurrió al resto de lenguajes cuando surgió el problema en Perl en 2.003 mirar "internamente" a ver si ellos también podrían estar afectados por el mismo fallo?. Quizás porque la gente ve "la paja en el ojo ajeno y no ve la viga en el propio"

El caso es que ahora nos encontramos con este problema que, al parecer, está ya solucionado en la mayoría de los lenguajes mediante la publicación de actualizaciones y parches que lo corrigen

Microsoft, por ejemplo, ha publicado un boletín de seguridad que corrige esta vulnerabilidad y tres más.
Ruby ha sacado la actualización 1.8.7-p357.
PHP 5 se actualiza a través de los repositorios SVN.
Rack se actualiza a través de los repositorios GIT.
Apache Tomcat ha actualizado a las versiones 5.5.35, 6.0.35 y 7.0.23.
JRuby ha actualizado a la versión 1.6.5.1

En fin, que como no podía ser menos, el año 2.011 se despide entre fallos de seguridad. 
Esperemos que este nuevo año que empieza hoy comience un poquito mejor en todos los sentidos para todos: salud, trabajo, amor... y menos fallos de seguridad. 

¡¡FELIZ AÑO!!