Hace unos días se dio a conocer una grave vulnerabilidad que afectaba a aquellos servidores que interpretan PHP mediante interfaz de entrada común o CGI. Esta vulnerabilidad fue analizada en detalle a lo largo de dos post y se explicó el alcance que podía tener y cuál eran los métodos para solucionarlo. Es por esto que a lo largo de los últimos días, el laboratorio de ESET Latinoamérica comenzó a realizar un seguimiento sobre una amenaza que está explotando esta vulnerabilidad de forma masiva para inyectar una webshell en PHP y brindarle funcionalidades sobre el servidor vulnerado al atacante.

¿Cómo se lleva a cabo este tipo de explotación masiva?

En una primera instancia, el atacante realiza pruebas de forma masiva a diferentes direcciones IP. La finalidad de estas pruebas es comprobar si efectivamente cada servidor utiliza CGI y si es vulnerable. En caso afirmativo, el atacante accede al servidor remoto donde aloja un archivo PHP con funcionalidades de una shell desde el servidor vulnerado mediante un método GET. De esta forma el archivo PHP queda en el servidor que fue atacado.

Cada sitio que es vulnerado con éxito, queda disponible para el posterior acceso del atacante. Hay que aclarar que estos ataques pueden contemplar desde acceder a archivos privados dentro del servidor, hasta realizar ataques de denegación de servicio o incluso inyección de malware en los sitios web disponibles en ese servidor.

Ver m�s… »

Categories: Estadísticas, Vulnerabilidades
No Comments »

A finales de la semana pasada hubo un gran revuelo porque se publicó una vulnerabilidad que podría estar presente hace más de 8 años y que afecta a aquellos servidores que ejecutan PHP como interfaz de entrada común o CGI. Particularmente, esta vulnerabilidad (CVE-2012-1823) admite la inyección de argumentos debido a que los mismos no son debidamente controlados y permiten acceder a información que no debería ser visible, como por ejemplo, el código fuente de una página PHP, o incluso la ejecución de comandos de forma remota.

¿Qué es CGI o interfaz de entrada común?

Para comprender en qué consiste la vulnerabilidad es importante entender la tecnología CGI. Particularmente, esta tecnología es muy utilizada por los servidores web y permite a un cliente (por ejemplo, un navegador web) solicitar datos e información a dichos servidores que son obtenidos mediante la ejecución de un programa en el mismo. En otras palabras, permite extender las capacidades de HTTP, agregando funcionalidad al servidor web.

Generalmente esta tecnología es utilizada en conjunto con el famoso servidor Apache. A su vez, muchos de los servidores que hoy existen en la red, están configurados para soportar PHP.  Es por esto que es importante aclarar algunos detalles que conciernen a estas tecnologías.

A grandes rasgos, Apache cuenta con módulos para el soporte de PHP nativo. Estos módulos están compilados como parte del propio binario de Apache por lo que para atender los requerimientos se utilizan procesos hijos e hilos. Esta configuración es ampliamente utilizada ya que brinda un buen rendimiento a la hora de atender múltiples peticiones.

CGI trabaja de forma un poco diferente. Cada petición que recibe el servidor crea un nuevo proceso para atender la misma, y en el caso de PHP crea un proceso del intérprete PHP por cada petición.

A partir de todo esto, hay que destacar que la vulnerabilidad afecta al segundo método que se explicó anteriormente, es decir, cuando se utiliza PHP mediante CGI. Un detalle que hay que tener en cuenta es que FastCGI (variación de CGI con algunas mejoras) no es vulnerable a este tipo de inyección de parámetros.

A continuación se pueden visualizar las dos configuraciones de las API del servidor que se explicaron anteriormente.

Ver m�s… »

Categories: Vulnerabilidades
No Comments »

El siguiente post es una traducción de la publicación Could your next new car be hacked (should you be scared)? de nuestro investigador de ESET Norteamérica, Cameron Camp.

La ola de nuevas tecnologías están implementándose lenta pero de forma segura en las próximas generaciones de automóviles, los que actualmente incorporan capacidades como la conducción de forma semiautónoma, estacionarse casi por si solos, y de recibir y transmitir información en tiempo real, datos que luego son mostrados en pantallas ubicadas en los asientos con fines de entretención y asistencia.

En el último evento Blackhat del año pasado, pudimos observar una demostración en donde se vulneró la seguridad de un automóvil que utilizaba tecnología inalámbrica. En esa ocasión se pudo desbloquear las puertas y encender el motor de forma exitosa. ¿Qué sucedería si estos investigadores hubiesen optado por el “lado oscuro” con el fin de desbloquear automóviles y robarlos? Afortunadamente, esta pregunta queda sin respuesta ya que las personas detrás de esta demostración pusieron en conocimiento del fabricante de dicho automóvil, los antecedentes necesarios con el fin que se pudieran adoptar las medidas necesarias para solucionar esta falla de seguridad y evitar que personas menos nobles y con más tiempo libre, se dediquen a abrir puertas y conviertan esto en un negocio ilícito.

Tradicionalmente, la mayoría de los automóviles poseen sistemas informáticos integrados pero muy rudimentarios, que sólo cumplen funciones muy determinadas como medir la cantidad de combustible restante, hacer la transmisión más suave cuando se presiona el pedal de aceleración o para optimizar el rendimiento y consumo de gasolina.

Considerando que la industria automotriz tiene planeado lanzar al mercado autos con navegadores capaces de determinar la ubicación del mismo o que incluyan sistemas de información embebidos, ¿Qué tan lejos estamos de observar fraudes electrónicos o scams que se aprovechen de esta situación? Para responder esto, primero hay que mencionar que los exploits de navegadores en plataformas más tradicionales tienen un largo y amplio prontuario de fallos y vulnerabilidades que han sido explotados por ciberdelincuentes. Si pensamos que estos autos estarán dotados de altas prestaciones informáticas capaces de asistir en la conducción con información relevante, ¿Podría ser esta una nueva y fecunda plataforma  para fines delictuales? Como se ha podido observar en este último tiempo, los exploits que utilizan Java y que muchas veces funcionan independiente del sistema operativo utilizado, podrían perfectamente afectar un automóvil que utilice alguna aplicación desarrollada en ese lenguaje, lo que podría facilitar el robo de información almacenada en la computadora del vehículo o incluso traer consecuencias mucho más graves.

Por lo general, la industria automotriz suele ser muy cuidadosa llevando a cabo variadas pruebas exhaustivas con el fin de determinar y solucionar posibles fallas en sus sistemas. Sin embargo, los autos suelen ser utilizados por diez o más años, lo que dificultaría la solución de una eventual vulnerabilidad dada la cantidad de modelos que aparecerían en ese lapso. Aunque es posible implementar un ciclo de actualizaciones para solucionar estas fallas, cualquier inconveniente que ocurra durante ese proceso podría traer serias consecuencias.

Ver m�s… »

Categories: Curiosidades
No Comments »

Linux BackTrack es sin dudas la distribución de este sistema operativo más utilizada por los expertos de la seguridad informática para realizar variadas pruebas con el fin de realizar auditorías y test de penetración.  Su principal diferencia con el resto radica en que incluye una amplia gama de herramientas preinstaladas como analizadores de puertos, paquetes y vulnerabilidades, archivos de exploits, de análisis forense y conexiones inalámbricas.  Su uso puede ser a través de un Live CD o instalándolo directamente en el disco duro de la computadora.

Tanto los software como todos los aspectos que rodean a la informática están hechos y construidos por los seres humanos, por lo tanto, es posible afirmar que cualquier componente por muy bien desarrollado que esté, es proclive a sufrir alguna falla o vulnerabilidad. Sin embargo, en este caso, Linux BackTrack no es directamente el producto vulnerable. El incidente fue descubierto y reportado por un estudiante del Instituto INFOSEC, quien encontró esta falla en la interfaz de conexión inalámbrica WICD (en inglés Wireless Interface Connection Daemon). El problema se origina debido a un filtrado inadecuado en la interfaz WICD DBUS (Desktop Bus), componente que permite que las distintas aplicaciones se comuniquen entre sí. Producto de lo anterior, un usuario malintencionado podría enviar parámetros inválidos a DBUS, los cuales luego son escritos en un archivo de configuración de WICD. El mayor problema es que estos parámetros erróneos pueden ser ejecutables o scripts, lo que permite la ejecución arbitraria de código con privilegios de usuario root bajo determinadas circunstancias como el establecimiento de una conexión inalámbrica. Por lo mismo, estamos ante una vulnerabilidad de escalada de privilegios.

Aunque algunos reportes mencionan que esta vulnerabilidad fue encontrada en BackTrack, el error se produce en el componente WICD DBUS y no en el sistema operativo en sí, siendo potencialmente vulnerables otras distribuciones de Linux, pese a que el problema fue reproducido en BackTrack 5. Para todos aquellos que utilicen este componente, recomendamos la instalación de la actualización de WICD 1.7.2 que corrige el problema anteriormente descrito. En forma complementaria, una educación por parte del usuario que haga énfasis en un comportamiento preventivo ayuda a minimizar el riesgo de amenazas informáticas independiente de la plataforma utilizada.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
No Comments »

La semana pasada surgió una nueva vulnerabilidad en los sistemas operativos desarrollados por Microsoft, denominada MS12-020 de acuerdo al sistema implementado para identificar las vulnerabilidades por la afamada empresa de software. Esta vulnerabilidad afecta al protocolo RDP (Remote Desktop Protocol), es decir, a cualquier sistema operativo que posea el servicio de administración remoto activado.

Categories: Alertas, Vulnerabilidades
2 Comments »