vBulletin vulnerable a inyección SQL en search.php

vBulletin es un famoso software de foros basado en PHP y MySQL. El mes pasado se reportó una seria inyección SQL que afectaba a sus versiones 4.0.x, 4.1.0, 4.1.1 y 4.1.2 y recientemente esa vulnerabilidad se está empezando a utilizar para atacar e infectar a múltiples foros.

El código vulnerable se encuentra en:
/vb/search/searchtools.php – línea 715;
/packages/vbforum/search/type/socialgroup.php – línea 201:203;

Y podemos inyectar las sentencia SQL a través de la búsqueda (search.php), concretamente en la petición POST de "Búsqueda con múltiples tipos de contenido" marcando "Grupos":

Ej:
&cat[0]=1) UNION SELECT database()#
&cat[0]=1) UNION SELECT table_name FROM information_schema.tables#
&cat[0]=1) UNION SELECT concat(username,0×3a,email,0×3a,password,0×3a,salt)
FROM user WHERE userid=1#

Actualmente existen multitud de sitios vulnerables (Dork : inurl:"search.php?search_type=1") por lo que ¡se recomienda actualizar lo antes posible a la versión 4.1.3!

Referencias:
Sucuri Research Blog
Information Security News and Exploits
J0hn.X3r

Allied Telesis filtra backdoors secretos

Muchos grandes fabricantes establecen puertas traseras o backdoors en sus productos para aliviar la frustración de los incautos administradores que han perdido la contraseña de acceso a su equipo. Un alivio para algunos y una oportunidad de oro para otros muchos malintencionados: se requiere poco tiempo para acceder a un sistema ajeno, no es necesario tener grandes habilidades técnicas y se hace "menos ruido" que con un ataque externo.

Allied Telesis, el fabricante japonés de switches, routers y otros equipos de red, no es una excepción y también garantiza backdoors en sus productos. El problema es que la semana pasada, en su página de soporte, se filtró una entrada interna (imágen de la izda. extraída de threat post) que incluía valiosa información para acceder a una amplia gama de sus dispositivos: una lista de logins por defecto, combinaciones de teclas y contraseñas e incluso aplicaciones generadoras de passwords (Backdoor Generator) a partir de la MAC correspondiente.

Esta entrada podía encontrarse en Internet a través de Google (intitle:"INTERNAL ONLY" site:custhelp.com) y podíamos obtener las instrucciones y procedimientos pertinentes además de los programas para generar las contraseñas, que podían descargarse en un fichero comprimido Backdoor_Generators.zip, que contenía su vez otros ficheros backdoor.exe, 8124PWD.EXE y passwords.doc. Aunque al intentar descargar el fichero .zip obteníamos un 'permiso denegado', este permiso era sin embargo fácilmente derogable realizando cierta modificación en la URL...

Seguridad en switches Cisco

Hoy en día existen numerosos ataques de nivel 2 que podrían llegar a comprometer el tráfico de nuestra red. Hace ya bastante tiempo, la NSA publicó una guía de configuración para la mejora de la seguridad de los switches Cisco (Cisco IOS Switch Security Configuration Guide) con una serie de contramedidas que en su mayoría siguen vigentes y que a continuación resumimos a modo de checklist:

- Jerarquía de red: mantener una jerarquía de red adecuada con tres niveles bien definidos:
. Nivel de acceso: donde van conectadas las máquinas de los usuarios.
. Nivel de distribución: donde van conectados los servidores locales, los routers, los switches de la LAN y otros switches con capacidad de enrutamiento.
. Nivel core o backbone: aquí estará la electrónica de mayores prestaciones para el switching de tráfico a mayor velocidad. Podrían conectarse servidores centrales, switch routers, high-speed routers e incluso switches de LAN.

- IOS: Instalar la última versión estable de la IOS en cada switch Cisco.

- Contraseñas: Configurar el cifrado básico de las contraseñas de usuario, la contraseña "enable" y la de la consola y terminal. Utilizar siempre contraseñas complejas.

El WACA WACA de Microsoft

Suena a la famosa canción de Shakira pero se trata de Web Application Configuration Analyzer 2.0 (WACA), una herramienta que escanea un servidor web y contrasta su configuración con un conjunto de buenas prácticas recomendadas para servidores de pre-producción o producción.

La lista de buenas prácticas se deriva del estándar 'Microsoft Information Security & Risk Management Deployment Review' usado internamente por Microsoft para fortificar entornos en pre-producción y producción dentro de la línea de aplicaciones de negocio. A su vez estos estándares son extraídos de 'Improving Web Application Security: Threats and Countermeasures' de Microsoft Patterns & Practices y disponible en: http://msdn.microsoft.com/en-us/library/ms994921.aspx.

La herramienta utiliza un agente de escaneo que requiere que el usuario tenga permisos de administrador en el servidor objetivo, incluyendo las instancias SQL que se ejecuten en la máquina. Puede ser utilizada por desarrolladores para asegurarse de que su código funciona en un entorno seguro y fortificado (aunque muchos de los chequeos no son aplicables para desarrolladores).


Descarga

w3af 1.0 estable

Ayer día 25 de mayo salió a la luz la versión 1.0 de w3af, un interesante framework para auditoría y ataques en aplicaciones web que seguro muchos ya conocíais. Las características de la primera versión estable son las siguientes:

- Código base estable: mejoras que reducirán los crashes de w3af al mínimo. Han estado trabajando en la corrección de todos los bugs desde hace mucho tiempo, escrito miles de líneas y pruebas y varios tipos de automatización para asegurarse de que se pueda seguir mejorando sin romper otras secciones del código.

- Auto-Update: que permitirá mantener la instalación de las actualizaciones de w3af sin ningún esfuerzo.

- Payloads de aplicaciones web: para las personas que disfrutan de las técnicas de explotación, esta es una de las cosas más interesantes que podrán encontrar en la seguridad de aplicaciones web. Se han creado varias capas de abstracción en torno a una vulnerabilidad explotada con el fin de ser capaz de escribir payloads que usen llamadas al sistema emuladas para leer, escribir y ejecutar archivos en el servidor web comprometido. En su blog hay una entrada dedicada por completo a este tema.

- Analizador de código PHP estático: como parte de un par de experimentos y proyectos de investigación, Javier Andalia creó un analizador de código PHP estático que realiza análisis de código PHP con el fin de identificar SQL injections, OS Commanding y RFIs. Ya es posible utilizar esta característica tan interesante como un payload de aplicación web. Después de la explotar una vulnerabilidad hay que probar: "payload php_sca", que descargará el código PHP remoto para analizarlo y encontrar más vulnerabilidades.

El Salvaje Oeste de los exploits kits

El año pasado ya os hablábamos de los web exploit kits, packs que se utilizan normalmente en un servidor web con una base de datos de backend y que permiten a un atacante utilizar una serie de exploits "pre-compilados" para aprovecharse de fallos de seguridad en las aplicaciones más populares.

Hoy en día llama especialmente la atención la aparición continua de nuevos packs (incluso encontramos uno de nombre desconocido de origen español) y su constante evolución, que podéis observar en la fantástica imagen de la derecha de Kahu Security: Wild Wild West.

También os aconsejamos echar un vistazo a este XLS de Contagio donde se muestra una tabla con las vulnerabilidades existentes y varios kits con sus respectivas versiones que son capaces de explotarlas.

Además actualmente están siendo filtrados muchos exploits kits como BlackHole Exploit Kit 1.0.2, Crimepack 3.1.3 Exploit Kit, Impassioned Framework, etc., muchos de ellos bastante recientes y que podíamos encontrar en el mercado negro por una suma de dinero considerable.

Esto sin duda es una oportunidad de analizar su funcionamiento y su código, pero también augura una ola de ataques...

Yo tengo especial debilidad por Eleonore, con el que he podido jugar con versiones antiguas. ¿Habéis probado vosotros alguno?

Facebook usa PhotoDNA contra los pederastas

Las redes sociales albergan decenas de fotos en cada perfil. Facebook, con 600 millones de usuarios, ha de estar atento por el contenido de estas, sobre todo, en el ámbito de la pornografía infantil. Es por ello que la red social de Mark Zuckerberg ha puesto en marcha una nueva herramienta desarrollada por Microsoft.

PhotoDNA identifica las imágenes -aunque hayan sido recortadas o modificadas que podrían constituir un delito. La herramienta está en contacto con la organización estadounidense National Center for Missing & Exploited Children, que cuenta con más de 48 millones de fotografías y vídeos de pornografía infantil, informó Portaltic.

El análisis de las fotografías se va realizando por bloques, examinando cada imagen por partes. Después se compara con los datos identificados y almacenados por el organismo de menores.

"Los servicios en línea se van a convertir en un lugar hostil para los pedófilos", dijo el director ejecutivo del centro, Ernie Allen. Las pruebas sobre la herramienta de Microsoft demostraron que identifican con precisión el 99,7% de las imágenes y sólo activa falsas alarmas una vez cada dos millones de imágenes analizadas.

Para crear un hash o registro de imagen, el programa pone la fotografía en blanco y negro en un tamaño estándar y reproduce la imagen en bloques sometiéndose a una serie de medidas.

Leído ayer y extraído de adn.es

Reto forense iAWACS 2011

Se ha abierto el reto forense del iAWACS 2011. Este reto está inspirado en un caso real en el que se utilizaron nuevas técnicas para ocultar información. El objetivo es comprobar la fortaleza y la seguridad de una implementación casi real (no académica).

Esquema táctico: de acuerdo a unos informes de inteligencia, se ha preparado un ataque terrorista contra el evento RSSIL 2011. Las fuerzas de la policía francesa han cogido a un terrorista cuando estaba a punto de recuperar un teléfono celular oculto en un geocaché. A pesar de los esfuerzos de la policía forense y de los equipos técnicos, el análisis del teléfono no ha tenido éxito todavía. Sin embargo, el análisis demostró que el directorio Dcim contiene un mensaje secreto oculto.
El terrorista confesó que estaba esperando una llamada en este teléfono para recibir instrucciones acerca de otro geocaché. Este segundo contiene una tarjeta SD con la aplicación para acceder al mensaje secreto. Desgraciadamente, esta llamada no va a suceder (los periódicos se han filtrado el arresto).

¿Serás lo suficientemente inteligente e imaginativo para recuperar el mensaje secreto y prevenir el ataque contra el RSSIL 2011?

Error de sistema


Material de la HITBSecConf2011

Ya está disponible el material de las presentaciones y charlas de la segunda edición europea de la Conferencia de seguridad Hack In The Box (HITB) que ha tenido lugar en Amsterdam entre el 17 y el 20 de mayo.

A continuación os dejo los enlaces:


D1 SIGINT

D1T1

Tipos de ataques contra OSPF

Seguro que muchos de vosotros conocéis OSPF (Open Shortest Path First), uno de los protocolos de enrutamiento dinámico IGP (Interior Gateway Protocol) más extendidos en grandes redes. OSPF es un protocolo de enlace-estado que utiliza el algoritmo Dijkstra.

Antes de hablar de su seguridad y de los ataques conocidos más comunes, vamos a resumir un poco su funcionamiento:

- La red OSPF se puede descomponer en áreas. La principal es conocida como backbone.

- Los routers de un mismo dominio de multidifusión o de un enlace punto a punto se descubren los unos a los otros mediante mensajes de tipo 'hello state' y eligen un router DR (designated router) y un BDR (backup designated router) para que sean los que distribuyan la información de la topología reduciendo así el tráfico general.

Android y la inseguridad en el protocolo ClienteLogin de Google

Hace unos días, un grupo de investigadores de la Universidad de Ulm en Alemania publicó detalles de una "vulnerabilidad" en los sistemas operativos Android versión 2.3.3 y anteriores. Realmente no se trata de una vulnerabilidad, si no de la forma en que las aplicaciones en Android utilizan el protocolo de autenticación ClientLogin para acceder a varios servicios de Google.

Concretamente, el problema reside en que ClientLogin envía los datos de autenticación (usuario y contraseña) sobre texto plano dentro de la cabecera Authorization en una petición HTTP GET. Un atacante podría por lo tanto capturar el tráfico y fácilmente extraer esta cabecera para suplantar a su víctima. Dependiendo del uso que se le de, el token podría dar al atacante acceso a las aplicaciones de Google Calendar, Picassa o Contact y lo peor es que ¡el token es válido durante 14 días!

Entrevista a Mercedes Hortelano del Partido Pirata de Madrid

Se acercan las elecciones municipales del 22 de mayo y una alternativa al panorama bipolar actual es el Partido Pirata, un partido que surge en Suecia a partir de una corriente ciberactivista y que se extiende ya por los cinco continentes.

En España, el Partido Pirata defiende
entre otras reivindicaciones la "libertad en Internet" en contra de la 'Ley Sinde' y el canon digital y está a favor de la extensión del uso de Software Libre en las Administraciones Públicas. Ahora en Madrid intentan "abordar" el Ayuntamiento con un mínimo presupuesto electoral.

María Mercedes Hortelano Vázquez de Prada, número 2 de sus listas, responde amablemente a nuestras preguntas:

1.- Háblanos de ti Mercedes y de cómo llegaste al Partido Pirata de Madrid

Hablaros de mí ... difícil me lo pones. Tengo 49 años, 50 en octubre. Llevo trabajando desde los 17/18 años. Me frustra la incompetencia, ello me ha llevado a ser medio activista social desde principios del 2006 y a meterme en las redes a finales del 2009.

Me considero tenaz, trabajadora y creo que otra forma de hacer política y sociedad es posible. Considero que mi punto débil y fuerte es mi pasión, con una buena dosis de lógica. Me considero experta en ver soluciones en dónde otros ven problemas o pegas y abogo por la integración y el diálogo. Creo que cuanto mejor nos vaya a todos, mejor para todos.

Creo que estamos en un momento apasionante de la historia y de la evolución. Confío en la inteligencia del ser humano y en nuestra capacidad de regeneración y de superación. Soy una convencida de que estamos pasando por una etapa de cambios de paradigma y que el sentido común terminará imponiéndose, por las malas o por las buenas.

El TOP 50 de exploits pendientes para Metasploit

Hay varias formas de contribuir con Metasploit Framework. La forma más fácil es reportar bugs a través del issue tracker, aunque también es posible contribuir escribiendo documentación en su Wikibook, realizar y reportar pruebas con varias plataformas y objetivos, programar parches, portar exploits públicos en módulos o desarrollarlos.

Para esta última tarea Metasploit tiene una lista de los 50 exploits "más deseados", una lista de vulnerabilidades con su CVE correspondiente ordenadas por severidad y que aún prevalecen en muchos entornos empresariales.

Si tienes el skill necesario y quieres contribuir para añadir algún exploit de esta lista al framework, ya sabes ¡Metasploit te necesita!:

int3pids gana un coche en el concurso de hacking del SCS3

int3pids lo ha vuelto a hacer y acaba de alzarse con el triunfo de otro Wargame internacional, el CarGame Challenge del Swiss Cyber Storm 2011 (SCS3). Para acceder al concurso, su participantes tuvieron que resolver previamente un mínimo de tres de cinco clasificatorios publicados desde noviembre del año pasado. Y si, el premio es nada más y nada menos que un Volkswagen Polo BlueMotion valorado en más de 20k€... ¡¡¡Nuestra más sincera admiración y enhorabuena!!!

Anonymous y sus ángeles caídos

Recientemente AnonOps.ru y posiblemente AnonOps.net fueron comprometidos y se publicaron las direcciones IP y las contraseñas de cientos de sus usuarios, entre las que incluso aparecían varias direcciones pertenecientes a clientes de Jazztel y Telefónica.

Lo más sorprendente sin embargo es que los servidores de Anonymous fueron hackeados por uno de los suyos, un ángel caído conocido como Ryan, un antiguo administrador del canal IRC a través del cual muchos simpatizantes voluntarios coordinaban sus acciones.

Ryan un chico de 19 años de edad de Wickford (Reino Unido), era operador del IRC desde diciembre pasado y tenía cierta importancia porque controlaba una botnet de más de 800.000 zombies que de vez en cuando utilizaba en alguna operación de AnonOps.

Parece que a Ryan no le gustaba que unos pocos como "shitstorm", "Nerdo", "blergh", "Power2All" o "Owen" (este último dicen que uno de los tres líderes de Anonymous) se organizaran y hablaran en canales privados para mover los hilos. Así que Ryan, junto con sus colegas de skidsr.us, usó el bot de servicios Zalgo, robó las IP´s y las contraseñas de todos los servidores de la red (incluido el eje) y atacó con ataques de denegación de servicio sistemáticos contra ella.

En definitiva, rebelde con o sin causa, Ryan ha podido comprometer la identidad de miembros y cooperantes de Anonymous. Gente anónima que el mismo coordinó a favor de una causa común. Recordemos que, en muchos países, organizar ataques para abatir webs es considerado delito...

ClubHACK Magazine nº16

Señores y Señoras, Hackers y Geeks, Nerds y Newbies... tenemos el placer de presentarles el magazine indio CHMag que este mes de mayo se centra en la seguridad de los navegadores web e incluye los siguientes contenidos:

0x00 Tech Gyan: Exposing the Password Secrets of “Apple Safari”
0x01 Legal Gyan: Cybercrimeopedia: New Rules under Information Technology Act
0x02 Tool Gyan: BeEF (Browser Exploitation Framework)
0x04 Mom's Guide: The User Agent on my Header
Matriux Vibhag: Forensics With Matriux - Part 1

¡Llega BackTrack 5 revolution!

Por fin es martes 10 de mayo (GMT+1) y quedan ya sólo unas horas para que podamos obtener los torrents de BackTrack 5, incluido una interesante imagen ARM para Android.

Esta nueva release bautizada como "Revolution" está basada en Ubuntu Lucid (10.04 LTS), soporta arquitecturas de 32 y 64 bits y se publicará integramente su código fuente. Además, como escritorios tendremos KDE (4.6) y Gnome (2.6) y se incluye Metasploit 3.7.0 y una enorme y reorganizada lista de herramientas alineada con los estándares PTES y OSSTMM.

Para ir abriendo boca os dejo su espectacular vídeo promocional:



Más info y descargas: http://www.backtrack-linux.org/
Actualización: descarga directa FTP: http://mirrors.rit.edu/backtrack/

ArpON 2.2: detecta y bloquea ARP spoofing/poisoning

ArpON (ARP handler inspection) es una herramienta para securizar ARP en nuestra red, un demonio que ha de instalarse en cada equipo que interviene en la conexión y que se caracteriza por:

- Detectar y bloquear MITM a través de ataques de falseamiento/envenenamiento ARP en redes estáticas, dinámicas (DHCP) e híbridas
- Detectar y bloquear ataques derivados: DHCP Spoofing, DNS Spoofing WEB Spoofing, Session Hijacking, SSL/TLS Hijacking & co
- Detectar y bloquear ataques punto a punto o multipunto

- No afecta a la eficiencia de la comunicación del protocolo ARP

- En un ataque, no afecta al tiempo de respuesta

- Es multihilo y multi SO

- Administra el interface de red en modo boot, unplug, hibernación y suspensión

- Funciona en el espacio de usuario por motivos de portabilidad de SO

- Es fácilmente configurable a través de la línea de comandos

- Está comprobado contra Ettercap, Cain & Abel, dsniff y otras herramientas

Más información y descarga en http://arpon.sourceforge.net

Posible intrusión en LastPass

Imaginaros que decidís almacenar todas vuestras contraseñas en la nube y protegerlas con una única clave maestra fácil de recordar. ¿Qué pasaría si alguien obtuviera esa clave maestra y accediera a todos vuestros logins y contraseñas? ¿Y si alguien obtuviera las claves maestras de más de un millón de usuarios? Tarjetas de crédito, cuentas bancarias, cuentas de correo electrónico, etc. Estaríamos hablando de un potencial robo de cuentas de todo tipo a nivel mundial.

Pues eso podría haber ocurrido con LasPass, la popular extensión/gestor de contraseñas para navegadores que hoy ha avisado a sus usuarios para que cambien urgentemente sus contraseñas maestras e incluso parece que ellos mismos han reseteado algunas mandando vínculos que fuercen el cambio.

La razón es que dicen haber detectado tráfico anómalo en varias bases de datos por lo que hacen un llamamiento a la prevención. Todo parece indicar que podrían haber extraído algunos hashes y que sólo las contraseñas más débiles, vulnerables a ataques de diccionario, podrían verse afectadas.

No obstante hombre precavido vale por dos y, si yo fuera usuario de LastPass, no dudaría ni un momento en cambiar rápidamente miS contraseñas... (y probablemente durante un tiempo os encontréis sus servidores saturados ante tantas conexiones).

Anuncio, actualizaciones y (por ahora) más de 750 comentarios en el post del blog oficial de LastPass: http://blog.lastpass.com/2011/05/lastpass-security-notification.html

¿Cuál es el mejor firewall de red?

Instalar y gestionar los firewalls o cortafuegos de una empresa siempre es divertido, uno se siente como el amo del calabozo que controla y vigila los accesos a los distintos elementos de la red.
Yo añoro mis principios con los gateways Linux con ipchains, los Cisco Pix y un poco más tarde los Netscreen 208... luego todo va avanzando y hoy tenemos auténticas pasarelas multifuncionales, appliances en alta disponibilidad que integran inspección de contenidos, AV, IPS, proxy, gestión de VPNs, potentes consolas de gestión y reporting, etc.


Como en el trabajo ahora estoy revisando precisamente distintos modelos de firewalls y
hace mucho que no os planteaba una encuesta, quería preguntaros cuál es, bajo vuestro punto de vista, el mejor firewall de red del mercado o, más bien como hay mil modelos distintos, el fabricante al que pertenece.

Ya sé que esto puede ser como preguntar si es mejor el Barça o el Madrid, que cada uno tendrá sus gustos, experiencias y preferencias, pero es interesante conocer distintas opiniones, ¿verdad?

En definitiva, os dejo una encuesta para que dejeis si quereis vuestros votos y el post para comentarios, anécdotas y opiniones sobre el tema de los "enterprise firewalls".

Buenas prácticas para mantener la red de casa segura

‘Best Practices for Keeping Your Home Network Secure’ es un breve e interesante documento que ha publicado la NSA con una serie de recomendaciones para que los usuarios tengan sus redes domésticas un poco más seguras y protegidas.

El texto se divide en cuatro partes:

- Recomendaciones basadas en host: para tratar los problemas de seguridad en los equipos con sistemas operativos Windows y Apple.
- Recomendaciones de red: qué debería revisarse a nivel de red como el diseño, el cifrado wireless o limitar el acceso administrativo a los dispositivos.
- Recomendaciones en seguridad operacional (OPSEC)/comportamiento en Internet: consejos para viajar con dispositivos móviles personales, uso de redes sociales, buenas prácticas con el correo electrónico y las contraseñas, etc.
- Recomendaciones de protección avanzadas: estas requerirían un skill más avanzado para mejorar la configuración de nuestro router inalámbrico, controlar el scripting en los navegadores o activar DEP.

Solución al reto 11: ¿quién entiende a los bebés?

Ha costado pero parece que, después de unas semanas, vamos a saber por fin que dice mi bebé ;)
Vamos con ello...

Primero observamos que por una parte tenemos el texto claro y por otra el texto cifrado:

Texto claro:

¡Hola bebé!
pa-pá-pa-pá...
¿qué quiere mi bebé?
¿quieres jugar con papi?
ajooo...
¿qué te pasa?
¿quieres el chupete?

Texto cifrado:

¡Fqdm puxé!
bs-lá-xy-lá...
¿uké wqyedy ok tqhé?
¿awycrqc vyskr gof lslo?
qpwoy...
¿awé bw xymu?
¿awycrqw gv shihkbw?

Con ésto y si habéis hecho algo de criptoanálisis seguro que os suena el ataque con texto claro conocido: se dispone de un texto en claro y su correspondiente texto cifrado, lo que permite reducir el espacio de búsqueda de claves u obtener estadísticas que pueden usarse para hacer deducciones en otros textos cifrados. Es decir, intentaremos encontrar la clave para descrifrar el segundo bloque de texto cifrado:

So kycsé...
¡zatg za jaukr qf rsvna i sáefoqso qm cl xyñiz!