Archive for Hispasec
Nueva versión de PHP soluciona varios fallos de seguridad
Se ha publicado recientemente una nueva versión de PHP (versión 5.2.13)
que ha solucionado dos fallos de seguridad.
PHP es un lenguaje interpretado de propósito general ampliamente usado,
que está diseñado para desarrollo web y puede ser embebido dentro de
código HTML. PHP está orientado a la creación de páginas web dinámicas,
ejecutándose en un servidor web (server-side scripting), de forma que
primero se toma el código en PHP como entrada y se devuelven las páginas
web como salida.
El primero de los problemas reside en un fallo en el código de
validación de safe_mode en la función tempnam(). Mientras que el segundo
problema podría permir evitar los controles impuestos por open_basedir y
safe_mode en la extensión de sesión.
Además, la nueva versión corrige otra serie de problemas de diversa
índole. La nueva versión se encuentra disponible para descarga desde:
http://www.php.net/downloads.php
PHP 5.2.13 Release Announcement
http://www.php.net/ChangeLog-5.php#5.2.13
Filed under: Hispasec, Internet, PHP, Seguridad informatica, Software, Software libre, Technology, Tecnologia |
| Hispasec, Internet, PHP, Seguridad informatica, Software, Technology, Tecnologia|Comments off
La botnet Kneber
Se viene informado en los medios de la existencia de esta botnet, que
afecta a más de 75.000 sistemas en 196 países. En realidad, no es nada
nuevo. Ni el hecho de que una compañía de seguridad aparezca ante las
cámaras como descubridora de algo contra lo que muchos luchamos cada
día, ni que los medios no entiendan el mensaje que se ha querido
transmitir.
NetWitness dice ser la empresa descubridora de esta botnet, y ha
generado bastante atención de los medios (NetWitness ha puesto a
disposición de todos los que le dejen sus datos de contacto, un
documento técnico sobre el asunto). Lo que parece haber ocurrido es que
NetWitness se ha colado en el panel de control de una de las centenas de
botnets controladas por la misma familia de malware: Zeus. La empresa ha
curioseado entre los datos allí robados, y ha contado 75.000 máquinas de
2.500 empresas de 196 países y 75 gigabytes de contraseñas y
certificados.
La ha bautizado Kneber porque los dominios que utiliza para descargar
componentes y demás comunicación con “la central” estaban registrados
con el correo HilaryKneber@yahoo.com . Pero es una red creada con Zeus.
Un software que se vende en el mercado negro para que cualquiera se
construya su propia botnet y la personalice como desee. Se tienen
constancia de redes botnets Zeus desde octubre de 2007, manejadas tanto
por el crimen informático organizado, como por atacantes ocasionales con
un perfil mucho más bajo que infectan solo a algunas decenas de sistemas
(Windows, habitualmente).
En realidad, lo novedoso de la botnet llamada Kneber (pero creada con
Zeus) no son los números que han salido a la luz. 75.000 máquinas zombi
no deja de constituir una gran red, pero desde luego no es la mayor
conocida. Lo destacable de esta Zeus es que su principal objetivo son
las contraseñas de redes sociales (Twitter, Facebook…). Lo normal en
este tipo de malware es el robo de credenciales bancarias. Aunque es
habitual que un troyano no descarte ningún tipo de contraseña en la
máquina que ha infectado, estar específicamente diseñado para redes
sociales no es (todavía hoy) el objetivo primario de la mayoría.
De vez en cuando salen a la luz este tipo de noticias. Los medios
generalistas siguen confundiendo una red zombi con una red “dispuesta a
atacar” a no se sabe bien qué objetivos. Esto puede ocurrir, pero no es
lo que actualmente está pasando ni lo que más debe preocupar a los
infectados. La persona que controle una red zombi, efectivamente, podría
ordenar a esos sistemas (puesto que suele tener total control sobre
ellos) que visiten todos a la vez una página y agoten sus recursos, de
forma que estarían “atacando” a esa web. Pero el uso principal de estas
botnets no es ese. El usuario infectado pierde por completo el control
de su máquina, de sus contraseñas y, en el peor de los casos, de su
dinero si realiza transacciones bancarias.
Los medios también se dejan encandilar por las cifras, cuando en
realidad, la botnet llamada Kneber puede ser una simple gota en el mar
de las botnets mundiales. Existen más de 700 sistemas de control de
redes Zeus conocidos, cada uno con un número indeterminado de sistemas
zombis en su poder. La que NetWitness ha encontrado en una de esas 700
redes son una gran cantidad de datos robados y zombis a su cargo, pero
no tiene que ser la mayor, y desde luego no es el único kit para crear
botnets que se conoce. Existen decenas de ellos, cada uno funcionando
con, a su vez, decenas de máquinas infectadas.
Más Información:
ZeuS: “A Virus Known as Botnet”
http://www.krebsonsecurity.com/2010/02/zeus-a-virus-known-as-botnet/
Filed under: Facebook, Hispasec, Internet, Redes Sociales, Seguridad, Seguridad informatica, Technology, Tecnologia, Twitter |
| Botnet, Botnet ZEUS, Facebook, hackers, Hispasec, Internet, Kneber, malware, Seguridad infomatica, Seguridad informatica, spam, Technology, Tecnologia, Twitter|Comments off
Nuevo PHP 5.2.12 soluciona varios fallos de seguridad
El pasado 17 diciembre PHP.net actualizó su versión estable a la 5.2.12. En esta versión ha solucionado varios fallos de seguridad.
PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.
CVE-2009-3557: Existe un error de validación de permisos en la función “tempnam” cuando está activo “safe_mode”. Esto permitiría a un atacante local saltar las restricciones de “safe_mode” y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función sólo comprueba el valor de “open_basedir”.
CVE-2009-3558: Existe un error de validación de permisos en la función “posix_mkfifo”. Esto permitiría a un atacante local saltar las restricciones y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función solo comprueba el valor de “safe_mode” y no de “open_basedir”.
CVE-2009-4017: Existe un error de diseño en PHP cuando se suben archivos. Esto permitiría a un atacante remoto causar una denegación de servicio remota por consumo excesivo de memoria mediante la subida de varios archivos simultáneos. Para solucionar este fallo se ha añadido una directiva llamada “max_file_upload” por defecto 20 que limita el número de archivos simultáneos que se permiten subir.
CVE-2009-4142: Existe un error en el filtro de la función “htmlspecialchars”. Esto permitía a un atacante remoto evitar que se codifiquen correctamente ciertos caracteres pudiendo causar errores de codificación o fallos de “cross site scrpting”.
CVE-2009-4143: Existe un error de falta de comprobación en “session.save_path”. Esto podría ser aprovechado por un atacante para causar un impacto no especificado.
Más Información:
PHP release:
http://www.php.net/releases/5_2_12.php
Sobre CVE-2009-3557:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/standard/file.c?r1=288706&r2=288945
Sobre CVE-2009-3558:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/posix/posix.c?r1=286880&r2=288943
Sobre CVE-2009-4017:
http://bugs.php.net/bug.php?id=50528
Sobre CVE-2009-4142:
http://bugs.php.net/bug.php?id=49785
Sobre CVE-2009-4143:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/session/session.c?r1=290190&r2=291681
Filed under: Hispasec, Internet, PHP, Seguridad, Seguridad informatica, Software, Software libre, Technology, Tecnologia |
| Hispasec, Internet, PHP, Seguridad infomatica, Seguridad informatica, Technology, Tecnologia|Comments off
Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código
Kingcope (quien también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio.
Microsoft engloba dentro del “paquete” IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.
El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.
El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).
Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.
Fuente www.hispasec.com
Microsoft IIS FTP 5.0 Remote SYSTEM Exploit
http://www.offensive-security.com/blog/vulndev/microsoft-iis-ftp-5-0-remote-system-exploit/
Microsoft Internet Information Services (IIS) FTP Service Vulnerability
http://www.us-cert.gov/current/index.html#microsoft_internet_information_services_iis1
Filed under: Hispasec, Internet, Microsoft, Seguridad, Seguridad informatica, Software |
| Hispasec, IIS 5, Microsoft, Seguridad, Seguridad infomatica, xploit|Comments off
Atacan los servidores de la fundación Apache
Este viernes los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores.
Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida.
La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web “ApacheCon”, en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los “comitters” -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache.
Según las primeras investigaciones, fueron creados varios archivos dentro del dominio “www.apache.org”, incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales.
Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban.
Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes…[]
Fuente www.hispasec.com
apache.org downtime – initial report
https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report
Apache.org hack
http://www.f-secure.com/weblog/archives/00001757.html
Filed under: Ciber ataque, Hispasec, Internet, Seguridad informatica, Software |
| Apache, Apache servidor http, Ataque informatico, hackers, Seguridad infomatica|Comments off
Corregidas dos vulnerabilidades en Apache Tomcat
Se han publicado actualizaciones para corregir dos vulnerabilidades en Apache Tomcat, que podrían ser explotadas para provocar denegaciones de servicio o descubrir información sensible.
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.
El primero de los problemas está provocado por una insuficiencia de comprobación de errores en algunas clases de autenticación, lo que podría permitir a atacantes realizar una enumeración de nombres de usuario válidos mediante el envío al servidor de contraseñas codificadas como URLs específicamente creadas, cuando autenticación (j_security_check) basada en FORM se usa con “MemoryRealm”, “DataSourceRealm” o “JDBCRealm”.
La segunda vulnerabilidad está provocada debido a que Tomcat cierra conexiones AJP cuando procesa una petición con cabeceras no válidas mediante el conector Java AJP, esto podría provocar el bloqueo por un tiempo de un miembro de un balanceador de carga mod_jk, con la consiguiente condición de denegación de servicio.
Se ven afectadas las versiones:
Apache Tomcat versiones 4.1.0 a 4.1.39
Apache Tomcat versiones 5.5.0 a 5.5.27
Apache Tomcat versiones 6.0.0 a 6.0.18
Se recomienda la instalación de las actualizaciones publicadas según la versión afectada:
Apache Tomcat versión 6.0.20 :
http://tomcat.apache.org/download-60.cgi
Apache Tomcat versión 5.5.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781379&view=rev
Apache Tomcat versión 4.1.SVN :
http://svn.apache.org/viewvc?rev=781362&view=rev
http://svn.apache.org/viewvc?rev=781382&view=rev
Fuente http://www.hispasec.com/
CVE-2009-0580: Tomcat information disclosure vulnerability
http://marc.info/?l=tomcat-dev&m=124404379413746&w=2
CVE-2009-0033: Apache Tomcat denial of service vulnerability
http://marc.info/?l=tomcat-dev&m=124404378213711&w=2
Filed under: Hispasec, Internet, Seguridad informatica, Technology, Tecnologia |
| Apache Tomcat, Hispasec, Seguridad infomatica|Comments off
GhostNet, red espía al servicio de…
La universidad de Toronto ha publicado un interesante documento de investigación sobre “GhostNet”, una botnet concebida para un objetivo muy concreto: el espionaje. No estamos ante una botnet con un crecimiento exponencial y centrado en la adquisición de más nodos para aumentar su poder, en este caso los objetivos eran tratados de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas infectadas en “GhostNet” es de solo 1.295, una población casi insignificante.
Esta investigación fue efectuada por el “Information Warfare Monitor”, alianza del think tank de seguridad canadiense “DevSec Group”, la universidad de Cambridge y “Citizen Lab”, a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.
Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen “GhostNet” se hallaban ordenadores de los ministerios, embajadas y cancillerías de países como Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc. Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.
Las máquinas eran infectadas por un troyano denominado “gh0st RAT” capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.
Aunque el 70% de los servidores del control de la red se sitúan en China y el evidente carácter político de los objetivos, el informe final no responsabiliza directamente al gobierno Chino de la autoría, al contrario que el informe paralelo de la universidad de Cambridge que lo incrimina y relaciona directamente…sigue
Fuente hispasec.com
Tracking Ghostnet: Investigating a Cyber Espionage Network.
http://www.secdev.ca/Secdev-temp/Publications.html
The Snooping Dragon, social-malware surveillance of the Tibetan movement.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf
Information Warfare Monitor
http://www.infowar-monitor.net
En 20minutos.es dicen:
Una red de espionaje informático ha logrado penetrar en ordenadores de Gobiernos, embajadas, organizaciones de defensa de los derechos humanos y medios de comunicación, entre otras instituciones, en 103 países, según una investigación de la Universidad de Toronto.
Según el informe divulgado este domingo en la red por el “Munk Center for International Studies” de la universidad canadiense no es posible atribuir con certeza la autoría del espionaje de la red que los investigadores denominan “GhostNet” (RedFantasma), aunque precisan que tres de los cuatro servidores de control están en provincias chinas y el cuarto en California (EE UU).
Los autores del informe, un grupo de seguimiento de la ciberdelincuencia denominado “The Information Warfare Monitor” y centrado en el uso de la red como dominio bélico estratégico, trabajan bajo el patrocinio del SecDev Group, una consultora de Otawa especializada en regiones en riesgo de violencia, y el Laboratorio Ciudadano de la Universidad de Toronto.
En su opinión, no puede concluirse definitivamente que el espionaje implique al Gobierno chino, pese a que el control del sistema parte de ordenadores en China casi exclusivamente, ya que ue dada el número de internautas chinos le corresponde al país una tasa equivalente de ciberdelincuencia.
Sin embargo, el origen de esta investigación está relacionado con la petición de la oficina del Dalai Lama en Dharamsala (norte de la India) para que los expertos analizaran su red de ordenadores, donde habían sido sustraídos virtualmente documentos y cuyos micrófonos y cámaras web eran activados mediante control remoto.
El diario The New York Times, que tuvo acceso a las “huellas digitales de los espías”, señala que uno de los posibles rastros de la implicación oficial de China es la llamada recibida por un diplomático no identificado nada más ser invitado por el Dalai Lama para presionarle y que no acudiera a la cita.
Espionaje en Irán, Portugal…
La mayoría de los ordenadores infectados pertenece a países o misiones diplomáticas del Sudeste Asiático, oficinas taiwanesas, indias y tibetanas, aunque el informe accesible en la red no permite ver ni el listado de los ordenadores infectados ni los nombres de sus titulares.
Sin embargo, en el listado por organismos aparecen las oficinas de la agencia estadounidense AP en Londres y Hong Kong, y el canal de televisión “New Tang Dinasty Television” creado por grupos de apoyo a Falun Gong.
Fuente 20minutos.es
En lanacion.com.ar…
TORONTO.- Una gigantesca red de espionaje cibernético, basada principalmente en China, logró hackear documentos confidenciales gubernamentales y privados de 103 países de todo el mundo, según reveló ayer un informe de expertos canadienses, en lo que se considera es la intrusión informática más grande detectada hasta hoy por la cantidad de países afectados.
La red de espionaje, que fue bautizada “GhostNet” (red fantasma) por los investigadores, logró infiltrar 1295 computadoras en sólo dos años y se calcula que continúa hackeando un promedio de una decena de nuevas máquinas por semana.
“Hasta un 30% de las máquinas infectadas son consideradas blancos de alto valor, por ser computadoras instaladas en ministerios de Relaciones Exteriores, embajadas, organizaciones internacionales [como la OTAN], medios de prensa y ONG”, explica el reporte, titulado “Tracking GhostNet: Investigating a Cyber Espionage Network´´.
“Este informe sirve como llamado de atención. El gran porcentaje de blancos de alto valor infiltrados demuestra la relativa facilidad con que un método que técnicamente no es muy sofisticado puede ser convertido rápidamente en una red de espionaje muy efectiva”, agrega el reporte.
Pese a que tres de los cuatro servidores de control de la red de espionaje están en provincias chinas, los autores del informe, un grupo de seguimiento de la ciberdelincuencia llamado Information Warfare Monitor (IWM), aclararon que “no es posible establecer de manera concluyente la identidad o motivación exacta de los hackers” ni afirmar que “el gobierno chino esté involucrado en la operación”.
“Podría ser la CIA o los rusos. Es un oscuro imperio que tenemos cubierto con un velo”, dijo Ronald Deibert, miembro del equipo investigador, en referencia a las dificultades que entraña Internet.
Un vocero del consulado chino en Nueva York, por su parte, se defendió de una posible implicación de su gobierno. “Eso son viejas historias, y se trata de bobadas”, dijo Wenqi Gao. “China rechaza toda forma de criminalidad informática”, aseguró.
El grupo investigador, que está formado por expertos del organismo SecDevGroup, con sede en Ottawa, y del Centro para Estudios Internacionales Munk, de la Universidad de Toronto, indicó que la investigación comenzó en 2008, tras un pedido de las oficinas del Dalai Lama en Dharamsala (norte de la India), que solicitaron a los expertos analizar su red de ordenadores luego de la sustracción virtual de documentos.
“En pocas semanas descubrimos evidencias en tiempo real de software nocivo que había penetrado en sistemas informáticos tibetanos, y había extraído documentos delicados de la oficina privada del Dalai Lama en la India, así como también en Bruselas, Londres y Nueva York´´, dijo el investigador Greg Walton.
Tras la divulgación del informe, Bhutila Karpoche, una activista del organismo Estudiantes por un Tíbet Libre, dijo que no la sorprendería China estuviera detrás de la red.
“Nuestras computadoras han sido invadidas en numerosas ocasiones durante los últimos cuatro o cinco años, y especialmente el año pasado´´, indicó.
Según el informe, la operación de espionaje tuvo implicaciones reales en por lo menos un caso: “Después de que una oficina del Dalai Lama envió por correo electrónico una invitación a un diplomático extranjero [cuya identidad no fue revelada], el gobierno chino desaconsejó al hombre asistir”, señala el reporte.
Los afectados
Los hallazgos iniciales del grupo condujeron luego a una investigación más amplia, de 10 meses de duración, durante la cual se detectó una red de ciberespionaje que involucraba a cientos de computadoras comprometidas de las cancillerías de Irán, Bangladesh, Letonia, Indonesia, Filipinas, Brunei, Barbados y Bután, así como a máquinas infiltradas de las embajadas de la India, Corea del Sur, Indonesia, Rumania, Malta, Tailandia, Taiwan, Portugal, Alemania y Paquistán, entre otras….
Parece ser que han comprometido incluso una maquina de la OTAN…
Fuente lanacion.com.ar
Filed under: Hispasec, Internacional, Internet, Redes, Seguridad informatica, Technology, Tecnologia |
| China, GhostNet, Hispasec, Red espia, Seguridad infomatica|Comments off
Routers, modems y botnets
Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de denegación de servicio procedente de una botnet llamada ‘psyb0t’. Nada nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de publicación de listas negras de IP en tiempo real, lo cual no es precisamente una manera de ganarse admiradores entre las filas de creadores de malware, spammers, etc. Lo interesante del asunto se lo encontraron cuando recabaron información sobre su atacante.
El gusano que teje ‘psyb0t’ no tiene como objetivo los ordenadores personales o servidores. El binario ni tan siquiera está compilado para la omnipresente arquitectura x86. Su foco de infección se encuentra en los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa un barrido por rangos de IP escaneando los puertos 22, 23 y el 80, buscando una vulnerabilidad que expone la administración remota del dispositivo a través de telnet, ssh e interfaz web inclusive con los permisos por defecto. Si la configuración ha sido modificada, lo intentará por fuerza bruta.
Tras obtener una shell con permisos de administrador borra el archivo ‘/var/tmp/udhcpc.env’ que pertenece al cliente DHCP y comprueba la existencia del comando wget para efectuar la descarga de una réplica del gusano con el mismo nombre y ruta que el archivo borrado. Tras ello inyecta reglas en iptables para cerrar la entrada en los puertos 22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el topic que contiene instrucciones para los bots…sigue
Via hispasec.com
Filed under: Hispasec, Internet, Seguridad informatica |
| botnets, Internet, modems, Routers, Seguridad infomatica|Comments off
¿Aprende Conficker más rápido que los internautas?
Enésima versión de Conficker (en este caso llamada B++ por algunas casas) que salta a los sistemas (y a los medios). Se trata del azote vírico del año, en un paralelismo sorprendente en muchos aspectos con lo que se dio en llamar el “Storm worm” y que se convirtió en la pesadilla de todo 2007 y parte de 2008. Los niveles de infección de Conficker siguen al alza, quedando ya lejos aquella primera versión que solo aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido nada? ¿Puede presentarse otro malware de manual y evolucionar exactamente de la misma forma que uno que ya sufrimos hace dos años?
Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de sus servicios (corregido en octubre, en el boletín MS08-067), al más puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue hasta que enriqueció su estrategia de infección, cuando realmente los medios se fijaron en él. Desde diciembre, comienza a copiarse a las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio “a salvo” gracias al cortafuegos (su verdadero enemigo). Su relativo éxito anima a medios y casas antivirus a lanzar una alerta “palpable”, de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva.
Sobre esta base de infección y “cuota de mercado”, Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se ayuda de servidores comprometidos o no y una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo. Conficker evoluciona así desde un gusano tradicional hacia un complejo sistema perfectamente orquestado, cambiante y eficaz. Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.
Si miramos atrás, “Storm Worm” o “Storm Virus” se popularizó a finales de 2006 como malware de rápida distribución que infectó a millones de sistemas Windows. Al principio, se propagaba de la forma más “burda” posible: un ejecutable a través de spam. Esta técnica, que se creía superada, provocó que muchos usuarios lo ejecutasen y quedasen infectados. Como Conficker, triunfó a pesar de usar técnicas de infección muy poco novedosas. Como con Conficker, los medios se fijaron en él precisamente por su simplicidad, por suponer un virus reconocible por los usuarios medios y poder usarlo de cabeza de turco como años atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con una infraestructura de sistemas que crecía cada día, Storm Worm sentó las bases de un ejército de equipos infectados. Como Conficker, los atacantes comenzaron a mejorar su propio código, y de qué manera. A los pocos meses se propagaba a través de técnicas mucho más sofisticadas. Las máquinas infectadas se usaron para enviar spam (en cantidades industriales) en campañas espaciadas en el tiempo, cada una más virulenta que la anterior, que no hacían más que realimentar el número de sistemas infectados… Y Storm Worm se convirtió en una pesadilla de decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada…[]
Source Hispasec.com
New Conficker B++ Worm Discovered, More Stealth
Filed under: Hispasec, Internet, Seguridad informatica |
| Conficker, Hispasec, malware, Seguridad infomatica|Comments off
Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader
Puesto que Adobe decidió “esperar” varias semanas para solucionar un grave problema de seguridad, ya ha aparecido un parche no oficial programado por un tercero. Esta era una parcela que hasta ahora se creía reservada para el sistema operativo Windows. Adobe Reader está cada vez más en el punto de mira de la industria del malware, como buen vehículo para instalar troyanos en el sistema sin que el usuario lo perciba. Ha protagonizado una nueva ola de ataques y Adobe sigue sin responder correctamente, sin experiencia en ser el centro de atención. ¿Sabrá esquivar los golpes que pueden llegarle en los próximos años?
Symantec y Shadowserver dieron la voz de alarma a mediados de febrero: una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e incluso más tarde para las ramas más veteranas del producto. No publica más información, ni contramedidas, ni consejos, ni alcance… nada.
Se creía que se trataba de un ataque dirigido, minoritario, hasta que un par de días después, se hace público un exploit capaz de aprovechar el fallo. Ahora, más que nunca, es de dominio público y Adobe deja desprotegidos a sus usuarios ante una amenaza más que palpable. SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto. Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión de tiempo que apareciera un exploit. SourceFire se justifica diciendo: “la vulnerabilidad está siendo aprovechada desde principios de enero. Preferimos que la gente esté protegida”.
Mientras, SourceFire publica un parche no oficial para solucionar el problema. Tal y como ha ocurrido en otras ocasiones con Microsoft, investigadores privados se adelantan y son capaces de mitigar el problema en cuestión de días. Bien es cierto que estos parches no tienen ningún tipo de garantía, y que no han superado las pruebas de calidad y compatibilidad a las que los suelen someter las empresas oficiales. Hasta ahora, los parches no oficiales habían sido, casi en exclusiva, algo de Windows y Microsoft, cuando se le acusaba de no solucionar a tiempo graves problemas de seguridad.
Brian Krebs preguntó al director de seguridad de Adobe por qué no habían incluido información en su alerta para mitigar el problema, como por ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que deshabilitar JavaScript no atacaba la raíz del problema. Poco después la alerta oficial fue actualizada para incluir la recomendación. Adobe además, ha publicado esta semana un parche para Flash Player que soluciona un grave problema de ejecución de código.
Adobe se ha visto envuelta en un episodio del que normalmente no es protagonista, un incidente al que nos tenía (y a veces, nos tiene) más acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido incontables reveses al respecto. No es la primera vez que Adobe no reacciona convenientemente antes un grave fallo de seguridad. Aunque es un software tremendamente popular, parece no tener experiencia a la hora de ofrecer unos boletines de seguridad completos, fiables, puntuales y con información útil sobre las vulnerabilidades. Esa información es muy necesaria para que un administrador de una gran empresa que gestione cientos de máquinas pueda lidiar con el problema hasta que se publique una solución…[]
Fuente Hispasec.com
Homebrew patch for Adobe AcroReader 9
http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html
Actualización por vulnerabilidades de ejecución de código en
Adobe Flash Player
http://www.hispasec.com/unaaldia/3777/actualizacion-por-vulnerabilidades-ejecucion-codigo
Adobe Urges Stopgap Changes To Blunt Cyber Threat
http://voices.washingtonpost.com/securityfix/2009/02/adobe_urges_stopgap_changes_to.html
Actualización por vulnerabilidades de ejecución de código en Adobe Flash Player
Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema vulnerable.
Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.
A continuación se especifican las vulnerabilidades corregidas.
1- Una referencia a un objeto no válido podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo Flash especialmente manipulado. Esta vulnerabilidad, descubierta por Javier Vicente Vallejo y reportada a través de iDefense, fue notificada al equipo de Adobe el pasado mes de agosto.
2- Un error de validación de entrada que podría causar una denegación de servicio, e incluso permitir la ejecución remota de código.
3- Se ha corregido un error no especificado relacionado con Settings Manager que podría permitir ataques de clickjacking.
4- Un fallo no especificado relacionado con la visualización por pantalla del puntero del ratón podría permitir ataques de clickjacking en sistemas Windows.
5- Revelación de información sensible, a través del binario de Flash Player para Linux, que podría permitir una escalada de privilegios. Adobe no ha proporcionado detalles técnicos acerca de las vulnerabilidades, aunque especifica que explotando la primera, y posiblemente la segunda, un atacante podría ejecutar código arbitrario si el usuario reproduce un fichero SWF especialmente manipulado.
Los productos y versiones afectados son:
Adobe Flash Player version 10.0.12.36 y anteriores.
Adobe Flash Player version 10.0.15.3 para Linux y anteriores.
Adobe AIR 1.5.
Adobe Flash CS4 Professional.
Adobe Flash CS3 Professional.
Adobe Flex 3.
Fuente hispasec.com
Adobe Flash Player actualizar a las versiones 10.0.22.87 o 9.0.159.0, desde: http://get.adobe.com/es/flashplayer/
Adobe Air, se recomienda instalar la última versión (v.1.5.1) desde: http://get.adobe.com/es/air/
Security Advisories : APSB09-01 – Flash Player update available to
address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb09-01.html
Adobe Flash Player Invalid Object Reference Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773
Filed under: Hispasec, Informatica, Seguridad informatica |
| Acrobat Reader, Adobe, Adobe Flash Player, Hispasec, Seguridad infomatica|Comments off
Malware oculto en una copia pirata de Apple iWork 09 para Mac OS X
En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.
Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.
El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.
El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un “fake”. Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.
Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.
Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran “las malas artes” para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente…[]
Fuente hispasec.com
Mac Trojan Horse OSX.Trojan.iServices.A Found
in Pirated Apple iWork 09
http://www.intego.com/news/ism0901.asp
Filed under: Apple, Hispasec, Internet, MacOS, Seguridad informatica, Technology, Tecnologia |
| Apple, Hispasec, Mac, malware, Seguridad infomatica, Software Pirata|Comments off
El gusano Conficker consigue niveles aceptables de infección
En octubre, cuando Microsoft publicó su boletín MS08-067, se daba por hecho que aparecería un gusano capaz de aprovechar la vulnerabilidad, dadas sus características. No se apostaba por una infección masiva (tipo Blaster) aunque finalmente parece que está causando más daño del esperado, quizás gracias a un cambio de estrategia combinada que le está sirviendo como una eficaz vía de propagación.
El día 23 de octubre Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. El exploit era público un día después. La vulnerabilidad se volvía “ideal” para ser aprovechada por un gusano tipo Blaster (la pesadilla del verano de 2003). En Hispasec apostaron a que no se alcanzaría ese grado de epidemia por muchas razones. La más poderosa es la existencia de cortafuegos activo por defecto en los Windows más modernos, que impide que el gusano tenga acceso al servicio vulnerable.
También advertíamos que “el fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada”. Finalmente sí que está consiguiendo cierto grado de infección (más del que esperábamos) en redes internas y fuera de ellas, en parte porque no sólo se está esparciendo accediendo al servicio vulnerable sino también a través de memorias USB.
Desde diciembre, el gusano adopta una nueva estrategia de infección, copiándose en las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio “a salvo” gracias al cortafuegos (su verdadero enemigo).
Aunque existe parche disponible desde antes de su aparición y el grueso de los antivirus lo detectan, en las últimas semanas está siendo una molestia para muchas empresas y organizaciones con redes mal configuradas. Uno de los “síntomas” que se pueden sufrir es que de repente algunas cuentas de dominio aparezcan deshabilitadas. El gusano fuerza por diccionario el recurso compartido ADMIN$ para acceder y copiarse en él. Esto provoca que como medida preventiva el usuario quede bloqueado…[]
Fuente Hispasec.com
Downadup / Conficker – MS08-067 exploit and Windows domain account lockout
http://isc.sans.org/diary.php?storyid=5671
Filed under: Hispasec, Internet, Seguridad informatica |
| Gusanos, Hispasec, Internet, malware, Seguridad infomatica|Comments off
