AÑO 5 - Nº 9 / SET 09



  Infraestructuras

  Delitos telefónicos

  Diseñar Seguridad

  Cinco erres

 

 

Hot Vulnerabilities

Cisco parchea una docena de vulnerabilidades de sus routers

Cisco Systems ha enviado su segundo boletín bianual de parches de seguridad para el firmware de sus routers. Con él, el fabricante ha cubierto doce brechas existentes en sus productos.

Cisco describe las brechas en 11 notas sobre seguridad emitidas el miércoles, indicando que afectan a los conmutadores y routers que utilizan el software Cisco Unified Communications Manager, así como una diversidad de servicios de los dispositivos que utilizan el sistema operativo Cisco IOS.

“La explotación de las vulnerabilidades de forma individual podría tener dos efectos diferentes, una brecha de confidencialidad o un problema de denegación de servicio” (DoS), explica Cisco en el texto donde describe las actualizaciones.

Entre los parches de este boletín se incluye uno para un agujero en IOS que podría facilitar al atacante eludir las políticas de control de acceso desplegadas sobre los dispositivos que utilizan la funcionalidad Object Groups for ACL. De esta forma, aquel conseguiría acceso a partes de la red a las que no se permite la entrada.

  • Existen múltiples errores no especificados en el manejador de conexiones TCP. Esto podría ser aprovechado por una atacante remoto para causar una denegación de servicio a través del envío de paquetes TCP especialmente manipulados.

  • Un fallo en el software de NTP podría causar que los dispositivos se reinicien. Un atacante remoto podría causar una denegación de servicio mediante la repetición de esta vulnerabilidad.

  • Otra vulnerabilidad reside en el Control de Listas de Acceso (ACLs) y podría permitir a un atacante remoto saltarse estas restricciones de seguridad.

  • Otro boletín hace referencia a un problema en la implementación de H.323 podría causar que el dispositivo se reinicie. Un atacante remoto podría aprovechar esta vulnerabilidad para causar una denegación de servicio mediante la repetición de la explotación de este fallo.

  • Un fallo en la implementación del protocolo SIP podría permitir a un atacante remoto causar una denegación de servicio cuando este activo "Cisco Unified Border Element".

  • Otro de los problemas corregidos reside en un fallo en un dispositivo configurado con sslVpn o ssh que podría causar que el dispositivo se reinicie mediante un paquete TCP especialmente manipulado.

  • Un fallo en la autenticación proxy https podría permitir a un atacante remoto eludir la autenticación del servidor proxy o eludir la página web de consentimiento.

  • Existe un error no especificado en la implementación del protocolo IKE. Esto podría ser aprovechado por un atacante remoto, que consumiera todas las asociaciones disponibles, para causar una denegación de servicio que evitara nuevas conexiones IPSec a través de vectores no especificados.

  • Existen dos fallos en dispositivos configurados con túneles IP y Cisco Express Forwarding.

  • Otro problema corregido se presenta en la implementación del protocolo SIP cuando está configurado con la opción "Cisco IOS Zone-Based Policy Firewall SIP Inspection" activada. Esto podría permitir a un atacante remoto causar una denegación de servicio cuando a través del envío de un paquete SIP especialmente manipulado.

  • Por último, un fallo en la autenticación de la sección "Extension Mobility" podría permitir a un atacante remoto ejecutar código arbitrario siempre que este activa la función "auto-registration".
     

Más Información: www.cisco.com/warp/public/707/cisco-sa-20090923-bundle.shtml

Fuente: CSO.es

Ediciones Anteriores:

AGOSTO 2009

Vulnerabilidad de Cross-Site Scripting en IBM Tivoli Identity Manager

Se ha anunciado una vulnerabilidad en IBM Tivoli Identity Manager 5.0 por la que un atacante remoto podría construir ataques de cross-site scripting.

Tivoli Identity Manager es un producto de IBM destinado a realizar una gestión de la información de usuarios automatizada y basada en políticas que permite gestionar con eficacia cuentas de usuario, permisos de acceso y contraseñas desde su creación hasta su caducidad, en entornos y recursos de IT heterogéneos.

El problema, reside en un error en la consola de autoservicio en el tratamiento del parámetro LAST y que podría ser aprovechado por un atacante remoto para lograr la ejecución de código script arbitrario.

Para corregir esta vulnerabilidad IBM ha publicado el Interim Fix Interim Fix 5.0.0.6-TIV-TIM-IF0031.

http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg1IZ54747

Debian ha publicado una actualización del kernel 2.6 que corrige múltiples fallos de seguridad

Podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

Un error en la función "udp_sendmsg" cuando se usa la bandera "MSG_MORE" en sockets UDP. Un atacante local sin privilegios podría causar una denegación de servicio o elevar privilegios a través de vectores no especificados.

Un segundo problema reside en una falta de validación de argumentos en el driver eisa-eeprom para la arquitectura hppa. Esto podría permitir a un atacante local obtener información sensible.

Existe un error en el tratamiento de bytes de alineamiento en la función "do_sigaltstack" en sistemas 64 bits. Esto podría ser empleado por un atacante local para obtener información sensible.

Otro problema se presenta al liberar el puntero "current->clear_child_tid" en la función "execre". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas al sistema especialmente manipuladas.

Por ultimo, un error de referencia a puntero nulo en el driver md de "drivers/md/md.c". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas especialmente manipuladas a ciertas funciones de la familia "suspend_*".

Se recomienda actualizar a través de las herramientas automáticas apt-get.

http://lists.debian.org/debian-security-announce/2009/msg00189.html

Denegación de servicio en el kernel de Solaris 8, 9, 10 y OpenSolaris

Sun ha publicado una actualización para los sistemas operativos Solaris 8, 9, 10 y OpenSolaris, para evitar una vulnerabilidad en el kernel que podría provocar condiciones de denegación de servicio.

Existe un error, no especificado, relacionado con la interacción de los subsistemas de memoria virtual y sistema de ficheros en el kernel de Solaris. Esto podría ser aprovechado por un atacante local autenticado para causar una denegación de servicio a través de vectores no especificados.


http://sunsolve.sun.com/search/document.do?assetkey=1-66-257848-1

JULIO 2009

Debilidades Wireless en IPhone

Dos expertos en seguridad informática, Lothar Gramelspacher y Max Moser, han revelado conductas de riesgo en la versión 3.0 del sistema operativo del iPhone en redes locales inalámbricas.

Cuando un iPhone detecta una WLAN pide a la red establecer contacto con un sitio web de Apple. Si establece contacto supone que todo está funcionando correctamente. Si no obtiene respuesta en lo absoluto, supone que la WLAN no tiene conexión a Internet.

El problema surge cuando recibe otro tipo de respuesta. Entonces, la rutina WLAN del iPhone supone que se encuentra en un portal donde se pide al usuario identificarse para obtener acceso a la red. Esta es una situación típica para zonas WLAN en hoteles, cafeterías y aeropuertos.

El iPhone responde automáticamente abriendo su navegador. La idea de los creadores del sistema operativo es que el usuario pueda proporcionar sus datos de login y clave de acceso.

Según Moser y Gramelspacher, este procedimiento hace que el iPhone quede disponible para una herramienta de penetración, disponible públicamente, denominada Karmetasploit.

Esto implica que intrusos pueden instalar una WLAN, y atraer teléfonos iPhone en la medida que se acerquen y aprovechando vulnerabilidades de Safari hacerse de información almacenada en el aparato.

En su blog, Moser explica que Apple "ha caído en la vieja trampa en que la seguridad es sacrificada en beneficio de la funcionalidad". El experto propone cambiar la funcionalidad WLAN del iPhone para salvaguardar la seguridad del usuario.

Moser ha publicado un vídeo donde explica la forma de secuestrar un iPhone cuando este entra a un área cubierta por una WLAN maligna.

Ver soluciones www.smobilesystems.com

Fuente: Diario Ti

Problema de seguridad en Android

Se ha descubierto un error de validación a la hora de manejar los permisos encargados de verificar el acceso a la cámara y al audio (Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD respectivamente) en Andorid. Esto podría ser aprovechado por un atacante para obtener grabaciones de audio y video sin el consentimiento del usuario.

Cualquier aplicación Android necesitará la confirmación explícita del usuario para acceder a un solo de los recursos de audio y vídeo. Pero si se crea (y el usuario instala) una aplicación que no pida el uso de esos permisos, por error, los tendrá implícitamente (podrá usar el micrófono y la cámara) sin necesidad de que el usuario lo sepa.

Android es un sistema operativo para móviles basado en el kernel de Linux. Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance (formada por alrededor de 50 empresas del sector). Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones ya que permite su comercialización de manera más simple.

Android está pensado para trabajar de manera similar a un Framework que además permite la intercomunicación entre distintas aplicaciones usando un interfaz propio para cada aplicación. El modelo usado por Android permite que los distintos programas informen al resto de que capacidades tienen y así el resto de programas pueden usarlas sin necesidad de implementarlas, claro está siguiendo ciertas reglas de seguridad.

Esta vulnerabilidad evade este control y permite que no se pida autorización al usuario para acceder a la cámara y el audio.

Las APIs oficiales son para Java; no obstante se podrían usar otros lenguajes, pero estos programas deberían compilarse para ARM (el procesador usado en la mayor parte de los dispositivo móviles actuales).

En la actualidad este sistema operativo es usado en algunos modelos de HTC y otras compañías, aunque el numero de dispositivos con este sistema operativo no es muy elevado.

Está solucionado en las versiones Android 1.5 CDBxx, CRCxx y COCxx donde xx son dígitos.

JUNIO 2009

Boletín de Junio de Microsoft

Críticos:

MS09-018 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en implementaciones de Active Directory en Microsoft Windows 2000 Server y Windows Server 2003, y Active Directory Application Mode (ADAM) cuando se instala en Windows XP Professional y Windows Server 2003. La vulnerabilidad más grave podría permitir la ejecución remota de código.

MS09-019 -> Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-021 -> Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado que incluya un objeto de registro con formato incorrecto. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MS09-022 -> Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en el administrador de trabajos en cola de Windows. La vulnerabilidad más grave podría permitir la ejecución remota de código si un servidor afectado recibe una solicitud RPC especialmente diseñada. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

MS09-024 -> Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en los convertidores de Microsoft Works. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Works especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

MS09-027 -> Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada que podrían permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

MAYO 2009

Vulnerabilidades en Microsoft Office PowerPoint permiten la ejecución remota de código (MS09-017)

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y varias vulnerabilidades de las que se ha informado de forma privada en Microsoft Office PowerPoint que podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría lograr el control total de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Clasificación: Crítica - Ejecución remota de código

Software afectado: Microsoft Office

Más Información: http://www.microsoft.com/spain/technet/security/bulletin/ms09-may.mspx

Actualizaciones de seguridad para Adobe Reader y Acrobat

Se ha identificado una vulnerabilidad grave en Adobe Reader 9.1 y Acrobat 9.1, y en versiones anteriores. Esta vulnerabilidad (CVE-2009-1492) podría bloquear la aplicación y permitir que un intruso se hiciera con el control del sistema afectado. A partir del 4 de junio de 2009, existen informes que indican que se está explotando este problema. Asimismo, se ha detectado una segunda vulnerabilidad que parece afectar a Adobe Reader, sólo para UNIX (CVE-2009-1493).

Adobe recomienda que los usuarios de Adobe Reader 9.1 y Acrobat 9.1, y de versiones anteriores, actualicen a Adobe Reader 9.1.1 y Acrobat 9.1.1. Adobe recomienda que los usuarios de Acrobat 8 actualicen a Acrobat 8.1.5, y que los usuarios de Acrobat 7 actualicen a Acrobat 7.1.2. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.1.1, Adobe ha proporcionado las actualizaciones de Adobe Reader 8.1.5 y Adobe Reader 7.1.2.

Clasificación: Crítica - Control total del sistema

Software afectados: Adobe Reader 9.1 y versiones anteriores. Adobe Acrobat Standard, Pro, Pro Extended 9.1 y versiones anteriores.

Más Información: http://www.adobe.com/es/support/security/bulletins/apsb09-06.html

ABRIL 2009

Parche Acumulativo de Oracle

Se ha publicado el parche acumulativo de Abril de 2009 para los siguientes productos de Oracle: Oracle Database, Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle PeopleSoft Enterprise PeopleTools y BEA. Este parche soluciona múltiples vulnerabilidades que pueden comprometer la integridad, confidencialidad y disponibilidad de dichos productos asi como la información manejada por ellos.

Versiones vulnerables:

Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4
Oracle E-Business Suite Release 12, versión 12.0.6
Oracle E-Business Suite Release 11i, versión 11.5.10.2
PeopleSoft Enterprise PeopleTools versiones: 8.49
PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3
Oracle WebLogic Server 8.1 through 8.1 SP6
Oracle WebLogic Server 7.0 through 7.0 SP7
Oracle WebLogic Portal 8.1 through 8.1 SP6
Oracle Data Service Integrator 10.3.0 y Oracle AquaLogic Data Services Platform (BEA ALDSP) 3.2, 3.0.1, 3.0
Oracle JRockit (formerly BEA JRockit) R27.6.2 (JDK/JRE 6, 5, 1.4.2)

Más información: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

Boletín de seguridad de Abril para Microsoft:

Microsoft ha publicado ocho boletines de seguridad (del MS09-009 al MS09-016) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", otros dos son "importantes" y un último con nivel moderado".

Más Información: http://www.microsoft.com/technet/security/bulletin/ms09-apr.mspx








Copyright © 2009 I-SEC. Todos los derechos reservados

Política de privacidad