Grave vulnerabilidad en PHP-CGI – Parte I
mayo 9, 2012 5:10 pmA finales de la semana pasada hubo un gran revuelo porque se publicó una vulnerabilidad que podría estar presente hace más de 8 años y que afecta a aquellos servidores que ejecutan PHP como interfaz de entrada común o CGI. Particularmente, esta vulnerabilidad (CVE-2012-1823) admite la inyección de argumentos debido a que los mismos no son debidamente controlados y permiten acceder a información que no debería ser visible, como por ejemplo, el código fuente de una página PHP, o incluso la ejecución de comandos de forma remota.
¿Qué es CGI o interfaz de entrada común?
Para comprender en qué consiste la vulnerabilidad es importante entender la tecnología CGI. Particularmente, esta tecnología es muy utilizada por los servidores web y permite a un cliente (por ejemplo, un navegador web) solicitar datos e información a dichos servidores que son obtenidos mediante la ejecución de un programa en el mismo. En otras palabras, permite extender las capacidades de HTTP, agregando funcionalidad al servidor web.
Generalmente esta tecnología es utilizada en conjunto con el famoso servidor Apache. A su vez, muchos de los servidores que hoy existen en la red, están configurados para soportar PHP. Es por esto que es importante aclarar algunos detalles que conciernen a estas tecnologías.
A grandes rasgos, Apache cuenta con módulos para el soporte de PHP nativo. Estos módulos están compilados como parte del propio binario de Apache por lo que para atender los requerimientos se utilizan procesos hijos e hilos. Esta configuración es ampliamente utilizada ya que brinda un buen rendimiento a la hora de atender múltiples peticiones.
CGI trabaja de forma un poco diferente. Cada petición que recibe el servidor crea un nuevo proceso para atender la misma, y en el caso de PHP crea un proceso del intérprete PHP por cada petición.
A partir de todo esto, hay que destacar que la vulnerabilidad afecta al segundo método que se explicó anteriormente, es decir, cuando se utiliza PHP mediante CGI. Un detalle que hay que tener en cuenta es que FastCGI (variación de CGI con algunas mejoras) no es vulnerable a este tipo de inyección de parámetros.
A continuación se pueden visualizar las dos configuraciones de las API del servidor que se explicaron anteriormente.
Ver mas… »
Promedio: 4.56Troyano utiliza Tor para anonimizar su actividad maliciosa
mayo 8, 2012 6:14 pmEn los laboratorios de ESET se ha descubierto un troyano tipo backdoor que utiliza Tor como forma de anonimizar su comportamiento malicioso en Internet. De este modo, cualquier tráfico generado por el malware que intente ser analizado y capturado por autoridades o investigadores, resultará complicado de interpretar por el mal uso que hace este código malicioso de dicha herramienta, cuya función genuina es brindar una capa de privacidad extra a los usuarios cuando navegan por sitios de Internet. Según los autores de este software de privacidad, “Tor es un programa gratuito y una red abierta que defiende al usuario de algunas formas de vigilancia que amenazan la libertad y privacidad personal, actividades confidenciales de negocios, relaciones, entre otras”.
Como toda herramienta tecnológica, existen individuos que hacen un buen uso de la misma y otros que no como en este caso. Cuando esta amenaza detectada por ESET NOD32 Antivirus como Win32/Agent.PBI es ejecutada por primera vez, copia un archivo denominado “install-201591042.exe” en la carpeta temporal del sistema para luego ejecutarlo. Enseguida utiliza el protocolo HTTP mediante la red de Tor para realizar acciones como la descarga de códigos maliciosos adicionales desde Internet u otras ubicaciones remotas, ejecutar archivos, y actualizarse a versiones más recientes con el fin de evadir la detección de los antivirus. Por otro lado, Agent.PBI está desarrollado para funcionar en todo tipo de configuraciones, incluso en aquellas donde no se encuentre instalado Tor. Para ello, procede a instalar este programa como un servicio de Windows. Así, cada vez que el usuario inicie sesión en su computadora, también se cargará el software.
A continuación, se muestran los cambios que realiza el código malicios0 en el registro del sistema para cumplir dicho objetivo:
Ver mas… »
Promedio: 4.56¿Podría su automóvil convertirlo en víctima de ataques informáticos?
mayo 7, 2012 1:39 pmEl siguiente post es una traducción de la publicación Could your next new car be hacked (should you be scared)? de nuestro investigador de ESET Norteamérica, Cameron Camp.
La ola de nuevas tecnologías están implementándose lenta pero de forma segura en las próximas generaciones de automóviles, los que actualmente incorporan capacidades como la conducción de forma semiautónoma, estacionarse casi por si solos, y de recibir y transmitir información en tiempo real, datos que luego son mostrados en pantallas ubicadas en los asientos con fines de entretención y asistencia.
En el último evento Blackhat del año pasado, pudimos observar una demostración en donde se vulneró la seguridad de un automóvil que utilizaba tecnología inalámbrica. En esa ocasión se pudo desbloquear las puertas y encender el motor de forma exitosa. ¿Qué sucedería si estos investigadores hubiesen optado por el “lado oscuro” con el fin de desbloquear automóviles y robarlos? Afortunadamente, esta pregunta queda sin respuesta ya que las personas detrás de esta demostración pusieron en conocimiento del fabricante de dicho automóvil, los antecedentes necesarios con el fin que se pudieran adoptar las medidas necesarias para solucionar esta falla de seguridad y evitar que personas menos nobles y con más tiempo libre, se dediquen a abrir puertas y conviertan esto en un negocio ilícito.
Tradicionalmente, la mayoría de los automóviles poseen sistemas informáticos integrados pero muy rudimentarios, que sólo cumplen funciones muy determinadas como medir la cantidad de combustible restante, hacer la transmisión más suave cuando se presiona el pedal de aceleración o para optimizar el rendimiento y consumo de gasolina.
Considerando que la industria automotriz tiene planeado lanzar al mercado autos con navegadores capaces de determinar la ubicación del mismo o que incluyan sistemas de información embebidos, ¿Qué tan lejos estamos de observar fraudes electrónicos o scams que se aprovechen de esta situación? Para responder esto, primero hay que mencionar que los exploits de navegadores en plataformas más tradicionales tienen un largo y amplio prontuario de fallos y vulnerabilidades que han sido explotados por ciberdelincuentes. Si pensamos que estos autos estarán dotados de altas prestaciones informáticas capaces de asistir en la conducción con información relevante, ¿Podría ser esta una nueva y fecunda plataforma para fines delictuales? Como se ha podido observar en este último tiempo, los exploits que utilizan Java y que muchas veces funcionan independiente del sistema operativo utilizado, podrían perfectamente afectar un automóvil que utilice alguna aplicación desarrollada en ese lenguaje, lo que podría facilitar el robo de información almacenada en la computadora del vehículo o incluso traer consecuencias mucho más graves.
Por lo general, la industria automotriz suele ser muy cuidadosa llevando a cabo variadas pruebas exhaustivas con el fin de determinar y solucionar posibles fallas en sus sistemas. Sin embargo, los autos suelen ser utilizados por diez o más años, lo que dificultaría la solución de una eventual vulnerabilidad dada la cantidad de modelos que aparecerían en ese lapso. Aunque es posible implementar un ciclo de actualizaciones para solucionar estas fallas, cualquier inconveniente que ocurra durante ese proceso podría traer serias consecuencias.
Ver mas… »
Promedio: 3.29Instagram: peajes virtuales y troyanos SMS
mayo 4, 2012 4:47 pmCuando hablamos acerca de amenazas para los dispositivos móviles encontramos de manera muy frecuente a los troyanos SMS entre las de mayor índice de propagación. Este tipo de códigos maliciosos engañan a los usuarios a través del uso de técnicas de Ingeniería Social simulando ser aplicaciones o video juegos para suscribir a las víctimas a servicios de menajes premium. Además de esta técnica de infección, existen algunas menos conocidas, como por ejemplo la utilizada por el troyano Android/TrojanSMS.Boxer que compartiremos en el post de hoy.
Simulando ser un instalador de la conocida aplicación Instagram en su versión para Android, logra persuadir al usuario. Al momento que se instala la aplicación maliciosa el usuario debe aceptar los términos y condiciones para que luego se contacte a una dirección URL remota y descargue la aplicación. Veamos un poco más en detalle cómo funciona este código malicioso y la información que oculta.
Para iniciar el análisis de este código malicioso, utilizamos el emulador de Android que viene con el SDK (Software Development Kit), al hacerlo creamos una imagen con la versión 2.2 del sistema operativo con el objetivo de entender en detalle cuáles son las actividades realizadas. El primer paso es corroborar los permisos solicitados por la aplicación, cómo pueden ver, requiere permisos para el envió, lectura y recepción de mensajes de texto:
Ver mas… »
Promedio: 4Primer malware que utiliza drive-by download en Android
mayo 3, 2012 6:33 pmEstá muy claro que las técnicas de propagación e infección de malware son cada vez más complejas. La prueba de este hecho es la aparición de una nueva amenaza para dispositivos móviles, específicamente Android, que se está propagando a través de páginas web y ataques “drive-by download”.
Según Lookout Mobile, este es el primer ataque dirigido a dispositivos móviles con sistema operativo Android que utiliza la técnica de “drive-by download” para infectar a los equipos. Aparentemente el nuevo troyano simula ser una actualización y se aloja en el equipo bajo el nombre de “update.apk”.
¿Cómo se produce la infección?
Existen sitios web que se encuentran infectados con este tipo de malware. Específicamente, fueron inyectados con código que utilizan iframes para conectarse a sitios remotos y descargar el malware. Generalmente el código se encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del usuario.
Por lo tanto cuando un usuario navega por el sitio comprometido, automáticamente comienza la descarga de la amenaza. Cuando finaliza la descarga, el sistema operativo informa al usuario mediante una notificación para que autorice la instalación de la supuesta actualización. Aquí es donde entra en juego el engaño de que la amenaza es una actualización para que el usuario autorice su instalación. Cabe destacar que Android debe tener habilitada la opción de “unknown sources” (fuentes desconocidas) para permitir la instalación de aplicaciones fuera de Google Play porque, de lo contrario, bloquea aquellas que están fuera del market oficial.
Otro aspecto que llama la atención es que cuando se accede al sitio web desde un dispositivo que no utiliza Android, la descarga de la amenaza no se produce. Si ocurre si se accede desde el propio móvil con Android. Esta comprobación se lleva a cabo mediante el user-agent del navegador, el cuál determina desde que plataforma se está accediendo.
Actualmente no se ha descubierto que la amenaza provoque daño al dispositivo, pero si puede ser utilizada para obtener acceso a los datos privados del mismo. Esto puede extenderse al caso de dispositivos móviles que se usan en las organizaciones o empresas con fines comerciales, abriendo la posibilidad del robo de información sensible.
Debido a la aparición de este tipo de amenazas, es importante instalar aquellas aplicaciones que provengan de un sitio de confianza o sean conocidas, así como también contar con una solución de seguridad para dispositivos móviles que permite proteger los datos del usuario y elimine este tipo de malware.
Fernando Catoira
Analista de Seguridad
Promedio: 3.86
