Comprometer cuentas de Facebook (y otras redes sociales) mediante la suplantación de cuentas de Hotmail inactivas

Una forma de recuperar una cuenta en muchas redes sociales es a través del correo electrónico.
Por ejemplo Facebook tiene, además de la recuperación a través del número de teléfono, la opción de recuperación a través de correo electrónico:


Decimos Facebook por ser uno de los más populares y porque tiene miles de usuarios activos vinculados a "Hotmail.com", pero esta alerta puede aplicarse a otras redes sociales.

La opción de recuperación de contraseña ha salvado a muchas personas pues no nos engañemos, con tantas contraseñas para recordar, es muy natural olvidar de vez en cuando alguna.

Sin embargo, aquellos usuarios que tienen cuentas antiguas de Microsoft, más concretamente de "hotmail.com" (las que hemos evaluado), y que usan esas mismas cuentas vinculadas a una red social, puede estar en riesgo grave de que comprometan su cuenta en alguna red social.

Después de un período de inactividad, la cuenta de correo electrónico "hotmail.com" es temporalmente cancelada, y el usuario sigue siendo capaz de recuperarla. Después de un período de más de cuatro meses, la cuenta y todos los correos electrónicos se eliminarán de forma permanente y ya no se podrá acceder a ella.

Esto es bastante común, al menos en la mayoría de los proveedores de correo electrónico, pero en el caso de Microsoft, el nombre de correo electrónico del usuario está disponible incluso después de cancelado.

Este fallo de seguridad permite a un usuario malintencionado robar información o cuentas de redes sociales, usando la opción de recuperación de la cuenta a través de correo electrónico con el viejo e-mail.

Hardened Paste: una extensión para Chrome contra Pastejacking

La semana pasada os hablábamos de Pastejacking una peligrosa técnica que podía derivar en la ejecución remota de comandos simplemente reemplazando el contenido del portapapeles con Javascript. Brian Kennish, el creador de Adblock Fast, Disconnect y Facebook Disconnect, ha creado una extensión precisamente para prevenir ataques Pastejacking. Se trata de Hardened Paste que mitiga esta amenaza proporcionando una barrera que anula métodos JavaScript explotables. Cuando Hardened Paste detecte y bloquee un posible ataque mostrará un aviso en el icono de la barra de tareas.

Para empezar a usarlo:

- Instala Hardened Paste para Chrome (la versión para Opera está en revisión).

- Comprueba que la extensión ha parcheado el exploit (para copiar pulsa Control-C en Windows o *nix o Command-C en OS X, para desencadenar un ataque).

- Sigue Hardened Paste en Facebook o Twitter para estar al tanto de cambios en la aplicación.


Hardened Paste incluye la librería port.js.

Fuente: https://github.com/rocketshipapps/hardenedpaste

Warberry: convierte tu Raspberry Pi en una máquina de "guerra" sigilosa

Warberry es una herramienta en Python con un objetivo en mente: ser utilizada por un red team en un entorno donde quieran obtener tanta información como sea posible, en un corto período de tiempo y de la forma más sigilosa posible. Sólo hay que encontrar un puerto de red y enchufar la RPi. Los scripts han sido diseñados de manera que se intente evitar lo máximo posible el ruido en la red para evitar la detección y ser lo más eficiente posible. 


Uso

Para obtener una lista de todas las opciones:

sudo python warberry.py -h

Parameters:
-h,  --help         [*] Print this help banner
-m,  --man          [*] Prints WarBerry's Man Page
-A,  --attack       [*] Run All Enumeration Scripts
-S,  --sniffer      [*] Run Sniffing Modules Only
-C,  --clear        [*] Clear Output Directories
-F,  --fulltcp      [*] Full TCP Port Scan
-T,  --toptcp       [*] Top Port Scan
-U,  --topudp       [*] Top UDP Port Scan

example usage: sudo python warberry.py -A
               sudo python warberry.py --attack
               sudo python warberry.py -C

Las contraseñas más usadas por los usuarios comprometidos en el último ataque a Linkedin

Seguro que ya os enterasteis del último ataque a Linkedin que se saldó con unos 167 millones de cuentas comprometidas (Linkedin tiene más de 400 millones de usuarios). Además, debido a los problemas con el algoritmo utilizado para proteger las contraseñas, SHA-1 sin Salt, se estima que el 90% de las contraseñas han sido crackeadas. A continuación se muestran las peores contraseñas ordenadas por frecuencia:

Po. Password Frecuencia
1 123456 753,305
2 linkedin 172,523
3 password 144,458
4 123456789 94,314
5 12345678 63,769
6 111111 57,210
7 1234567 49,652
8 sunshine 39,118
9 qwerty 37,538
10 654321 33,854

Abusando de WPAD para implantar ficheros PAC maliciosos (colisión de nombres gTLD)

Normalmente en las empresas los usuarios utilizan un servidor proxy para navegar por Internet, mejorando así el rendimiento (caché), la monitorización y la seguridad. Para no tener que configurar manualmente los navegadores se suelen utilizar los llamados ficheros PAC (proxy auto-config) donde se define el proxy apropiado para acceder a cada URL, y para saber la ubicación de estos ficheros se utiliza WPAD (Web Proxy Autodiscovery Protocol) mediante descubrimiento por DHCP o DNS.

Recientemente un estudio de la Universidad de Michigan ha revelado la existencia de una vulnerabilidad en WPAD que podría ser aprovechada por un atacante para interceptar estas peticiones de descubrimiento y retornar un fichero PAC que haga que un usuario utilice un proxy malicioso.

Veamos un poco en qué consiste. Por ejemplo, si en el navegador de un equipo está marcada la opción de 'Detectar la configuración automáticamente' (como se muestra en la imagen de arriba) el sistema se basará en el hostname para buscar el fichero .pac en este orden:

Hostname: 

computer.team.division.company.example

Búsqueda de fichero .pac:
wpad.team.division.company.example/wpad.dat
wpad.division.company.example/wpad.dat
wpad.company.example/wpad.dat

 

Si el dominio .company.example no es resuelto por los DNS internos la petición se reenviará automáticamente a los DNS públicos.

El problema es que WPAD está activado por defecto en todos los sistemas operativos Microsoft Windows y en el navegador Internet Explorer, por lo que si en una empresa no está implementado su uso se estarán enviando de forma incontrolada peticiones a Internet


De hecho, los investigadores confirman en su whitepaper: "en dos de los 13 root servers, se observan todos los días aproximadamente 20 millones de este tipo de consultas que contienen fugas al espacio de nombres DNS público. Este ha sido un problema conocido desde hace años, pero ... no ha sido explotable con anterioridad".

Y dicen no "explotable con anterioridad" porque en 2012 la ICANN abrió la puerta a la contratación de dominios de nivel superior genéricos pasando de 22 a los 1300 que se prevé que habrá en los próximos años. Es decir, podéis imaginar que si los atacantes son capaces de comprar el nombre de dominio .company.example podrían poner un sitio web en wpad.company.example y publicar su propio archivo PAC que indique a los navegadores usar el servidor proxy del atacante...

Para evitarlo, el US-CERT recomienda:

- Considerar desactivar la detección/configuración automática de proxy en los navegadores y sistemas operativos cuando se trata de dispositivos que no serán utilizados en redes internas.
- Considerar el uso de un nombre de dominio completo (FQDN) de un DNS global como el root de la empresa y espacio de nombres interno.
- Configurar los servidores DNS internos para responder autoritariamente a las consultas internas de TLD.
- Configurar los firewalls y servidores proxy para registrar y bloquear las solicitudes de salida para archivos Wpad.dat.
- Identificar el tráfico WPAD esperado y vigilar el espacio de nombres público o considerar registrar dominios de forma defensiva para evitar futuros conflictos de nombres.
- Presentar un informe a la ICANN si se está sufriendo un daño grave demostrable como consecuencia de la colisión de nombres.

Fuentes:
- When domain names attack: the WPAD name collision vulnerability
- WPAD name collision bug opens door for MitM attackers
- White paper: enterprise remediation for wpad name collision vulnerability

Pastejacking: usando Javascript para sobrescribir el portapapeles con contenido malicioso

Ahora los navegadores permiten a los desarrolladores añadir automáticamente el contenido al portapapeles de un usuario, dependiendo de ciertas condiciones, normalmente mediante eventos del navegador. 
Recientemente Dylan Ayrey aka dxa4481 ha desarrollado una técnica bautizada como pastejacking que se aprovecha de ésto para engañar al usuario y conseguir que ejecute comandos maliciosos.

Cabe señalar que durante un tiempo también se podían realizar ataques similares a través de HTML/CSS. La diferencia con esta técnica es que el texto puede ser copiado después de un evento o copiado después de un breve periodo de tiempo, y puede ser utilizado para explotar VIM, como se muestra a continuación.

Demo

El siguiente sitio sugiere al usuario copiar un inocente comando: https://security.love/Pastejacking

echo "not evil"

Si el usuario lo copia con la típica combinación de teclas ctrl+c o command+c se establece un temporizador de 800 ms y sobrescribirá el portapapeles del usuario con código malicioso:

echo "evil"\n

El salto de línea que se incluye al final hará que se ejecute el comando sin darle al usuario la oportunidad de revisarlo.

bt2, un backdoor escrito en Python que utiliza Telegram como C&C

bt2 (Blaze Telegram Backdoor Toolkit) de Julio Cesar Fort es un bot IM escrito en Python que utiliza la infraestructura y la API de Telegram actuando como un C&C. Incluye las funcionalidades típicas de un backdoor como ejecución de comandos, downloader, shell inverso, descarga y subida de archivos, etc.

El bot se encuentra en la red de Telegram a la espera de las órdenes procedentes del botmaster. El master puede controlar los bots desde cualquier cliente Telegram, ya sea de escritorio, móvil o en línea de comandos permitiendo una gran flexibilidad durante la fase de post-explotación. Además las comunicaciones se realizan a través de HTTPS estándar pudiendo evadir varios filtros de red corporativa.

Dependencias

$ sudo pip install telepot
$ sudo pip install requests


Limitaciones

Actualmente la ejecución del shellcode depende de ctypes y funciona sólo en plataformas Windows

Uso

Antes de utilizar bt2 es necesario registrar un bot en Telegram. Una vez configurado se obtendrá una clave para interactuar con la API de bot.

Para más información, ver:
Telegram bots: an introduction for developers

Además, es muy recomendable sustituir 'botmaster ID' con el ID del maestro, bloqueando la comunicación entre el bot y el ID específico del botmaster para evitar abusos por parte de terceros no autorizados.

$ python bt2.py



Proyecto Github: https://github.com/blazeinfosec/bt2

Cómo firmar digitalmente los correos enviados desde Yahoo o Gmail

Cada vez surgen nuevos y más sofisticados ataques de phishing o de suplantación de identidad mediante correos electrónicos fraudulentos que intentan engañar a los usuarios. El objetivo es que faciliten información confidencial, o que sigan un enlace e introduzcan sus credenciales en un portal falso, o que abran un fichero adjunto y se infecten, etc.

Por eso hoy en día es de vital importancia firmar digitalmente los mensajes, para dar al destinatario la posibilidad de comprobar su autenticidad e integridad. 


No voy a entrar en el detalle de qué es y cómo funciona la firma electrónica pues no es objeto de esta entrada que pretende ser principalmente práctica. Sólo recordaros que, a grandes rasgos, para firmar un mensaje se calcula su hash (message digest) y se firma con la clave privada del remitente. El resultado es la firma digital que se adjunta en el mensaje al enviarlo para que el destinatario pueda comprobarlo mediante su clave pública correspondiente, tal y como se muestra en la imagen de la derecha.

Si el destinatario no dispone de la clave pública del remitente este último puede también adjuntarlo en el mensaje, eliminando así la necesidad del intercambio manual previo o el acceso a una PKI, GAL o keyserver público, a diferencia que con el cifrado (asimétrico) que si necesitaría si o si y previamente la clave pública del destinatario. 

Es decir, tenemos la posibilidad de firmar digitalmente y de forma fácil nuestros mensajes para darle a nuestros contactos la posibilidad de comprobar quién ha enviado un correo somos realmente nosotros.

Entonces, ¿por qué no firmar nuestros correos si podemos hacerlo de manera gratuita, en unos sencillos pasos e incluso con las cuentas de correo de Yahoo o Gmail que usamos a diario? Veamos cómo hacerlo.

Uso elevado de CPU si utilizas un nombre de usuario que contenga "user" en Windows 8.1

Estoy algo liado pero permitirme dejaros sólo una pequeña píldora, en este caso un bug que apareció en mayo del año pasado pero que ha vuelto a salir a la palestra a raíz de comentarse recientemente en Reddit y otros medios sociales. Se trata de que si usáis un nombre de cuenta de usuario que contenga la palabra "user" en Windows 8.1 veréis como el proceso taskhost.exe consume un alto porcentaje de CPU de forma intermitente debido a un problema en el componente DFPCommon.dl.

Pero lejos de publicar un parche, para resolverlo Microsoft nos lo pone fácil: "Para resolver el problema, no cree una cuenta de usuario que contenga la cadena 'user' en el equipo":


https://support.microsoft.com/en-us/kb/3053711


Sin comentarios. Y si ya la estabas utilizando tienes dos opciones, borrarla o renombrarla... o como leía en algún otro foro otra solución sería "No usar Windows". Lol!

Demuestra tu ingenio en criptografía participando en CryptoCTF

Desde hoy y hasta el próximo 27 de mayo se desarrolla CryptoCTF, un CTF en el que encontraréis un montón de pruebas de ingenio, programación y destreza en criptografía dirigidos a estudiantes de secundaria de todo el mundo.

Se puede participar en grupos de hasta cuatro participantes y puede haber varios equipos de un mismo instituto, si bien no deben colaborar entre ellos. Basta con tener unos conocimientos mínimos de criptografía y programación. Los premios serán en Bitcoins, aunque todavía no se han concretado cantidades.

Algunos ejemplos de los retos que encontraréis:

- Cifrado de jardín de infancia: Cuando eres pequeño, vas a la escuela para aprender a leer y contar. ¿Y si se enseña un poco de la criptografía también?

6-12-1-7 { 1-2-3 ' 19 _ 1-14-4 _ 15-14-5 _ 20-23-15 _ 20-8-18-5-5 ' 19 }

- Toda su base: El último paso para muchos algoritmos de cifrado es cambiar la base de varios valores. Intenta averiguar qué base se utilizó en este caso:

666c61677b7072657474795f62617369
635f69665f796f755f61736b5f6d657d


- Padre de la máquina de escribir remota: Llegarán tiempos en los que no tendrás ninguna idea de lo que significan las cosas, por lo que tendrás que recurrir a Google para entenderlas. Estas avisado.

1000010100000010110110010000111101000110
0010101101100100001111010110001011000001
0110011001010100001101110000010111011000
0011101100100000011001100110101001000110
0111100001000111100100011001010000100101
0000101110110000110001001110100101000011
0100100001010100111010010110000010100001
1100101010000110111000001


Tenéis la solución a estos ejemplos en la web de CryptoCTF, donde además podréis inscribiros:

http://cryptoctf.com/

Vulnerabilidad crítica de envenamiento de caché en proxies Squid

Jianjun Chen, un estudiante de la Universidad de Tsinghua, ha reportado una vulnerabilidad crítica de envenenamiento de caché en el servidor proxy Squid, recordemos uno de los cachés transparentes más desplegados por los proveedores de servicios de Internet.

La vulnerabilidad, todavía sin CVE, permite a un atacante redireccionar el tráfico de los usuarios que utilizan el proxy a sitios maliciosos mediante una única petición, siempre que el tráfico no sea HTTP cifrado. "El ataque permite envenenamiento de caché de cualquier sitio web HTTP sin cifrar", confirma Chen, y por ejemplo podría realizarse de forma silenciosa mediante anuncios Flash maliciosos.

Para explotarlo con éxito, un atacante debe ser capaz de enviar peticiones a un sitio web (como attack.com) a través del servidor proxy. Bajo este escenario, el atacante primero establece una conexión TCP contra el servidor web attack.com. Al funcionar Squid en modo proxy transparente, estas solicitudes son interceptadas y transmitidas. A continuación, el atacante inicia la siguiente petición HTTP:

GET http://victim.com/ HTTP/1.1 Host: attack.com

El módulo de caché utiliza la dirección de host de la cadena de la petición (victim.com) para crear la clave; sin embargo, el módulo de verificación utiliza el encabezado de host (attack.com) para comprobar la comunicación entre el host y la dirección IP. Esto es lo que hace posible el ataque.

Chen ha publicado también el siguiente vídeo con la PoC:


Ya se ha publicado el parche para las versiones diarias (dayly builds), pero aún no se distribuido para las regulares y el ataque puede ser ejecutado contra las versiones anteriores a la 3.5.18 y 4.0.10. Mientras, como workaround, se recomienda activar la opción host_verify_strict y usar la siguiente regla de Suricata:

alert http $HOME_NET any -> $HOME_NET $HTTP_PORTS (msg: "[PT Open] Possible Squid cache poisoning"; content: "GET"; http_method; content: "http://"; http_raw_uri; pcre: "/GET\s+\w+:\/\/\S+\s+.*?[\r\n].*?Host: +[\w\.:]+\b/is"; pcre:! "/GET\s+\w+:\/\/([^\/\s]+)[\/\s]\S*.+?Host:\s*\1\S*\b/is"; classtype: attempted-recon; sid: 10000035; rev: 1; )

Fuente: Popular cache Squid skids as hacker pops lid

PornHub lanza un programa de recompensas de vulnerabilidades

Ya tienes excusa para ver porno tranquilamente en cualquier momento y lugar: ¡PornHub lanza un programa de recompensas de vulnerabilidades (bug bounty program)!


Con el creciente número de ataques informáticos un número significativo de empresas y organizaciones han iniciado programas de recompensas y los sitios de pornografía no pueden ser una excepción. PornHub, quizás el sitio más famoso de este tipo, ha puesto en marcha un programa de recompensas de errores para que los investigadores de seguridad y los cazadores de bugs puedan encontrar y reportar las vulnerabilidades de seguridad en su sitio web.

El programa se realiza a través de HackerOne, una plataforma para conectar a los investigadores de tecnología que descubren vulnerabilidades, bugs y otros temas con las empresas afectadas por ellos. Las recompensas en este caso van desde los 50$ a los 25.000$ dependiendo del impacto de la vulnerabilidad encontrada en el sitio web:

- http://*.pornhub.com/

Comprueba las capacidades de tu IDS/IPS con Pytbull

Pytbull es un framework en Python para probar las capacidades de detección y bloqueo de IDS/IPS como Suricata, Snort y otros sistemas que sean capaces de generar ficheros de alerta. Aunque es una herramienta que no recibía ninguna actualización desde 2012, en marzo de este año se ha publicado una nueva versión para corregir algunos bugs y se trata de una de las pocas herramientas existentes para poner a prueba nuestros sistemas de detección y prevención de intrusiones.

Pytbull es fácilmente configurable y necesita dos partes, el cliente o Pytbull para generar los payloads y un servidor para recibirlos donde puede instalarse una shell inversa. Entre ambos se generará todo el tráfico que el IDS/IPS debe interceptar y analizar. Básicamente utiliza 5 técnicas distintas:

- socket: abre un socket en un puerto dado y envía payloads al objetivo sobre ese puerto.
- command: envía un comando al objetivo remoto con la función de python subprocess.call().
- scapy: envía payloads especialmente modificados basándose en la sintaxis de Scapy.
- client side attacks: usa un shell inverso en el objetivo remoto y envía comandos para que procese el servidor (normalmente comandos wget).
- pcap replay: permite el reenvío de tráfico basado en ficheros pcap.

En su última versión, la 2.1, se incluyen más de 300 pruebas agrupadas en 11 módulos distintos:

1. badTraffic: Los paquetes que no cumplen con el RFC se envían al servidor para comprobar cómo se procesan.
2. fragmentedPackets: se envían distintos payloads fragmentados al objetivo para poner a prueba su capacidad para recomponerlos y detectar los ataques.
3. bruteForce: comprueba la capacidad del servidor para detectar ataques de fuerza bruta (por ej. en FTP). Para ello utiliza reglas personalidas de Snort y Suricata.
4. ipReputation: comprueba la capacidad para detectar tráfico desde/hacia servidores de baja reputación.
5. clientSideAttacks: este módulo utiliza un shell inversa para proporcionar las instrucciones para descargar archivos maliciosos remotos. Este módulo pone a prueba la capacidad de los IDS/IPS para proteger contra ataques del lado del cliente.
6. normalUsage: payloads de uso normal.
7. pcapReplay: Permite reenviar archivos pcap.
8. denialOfService: Pone a prueba la capacidad de protección del IDS/IPS contra los intentos de DoS.
9. shellcodes: Enviar varios shellcodes al puerto 21/tcp para poner a prueba la capacidad de detectar/bloquear shellcodes.
10. evasionTechniques: incluye varias técnicas de evasión para comprobar si los IDS/IPS pueden detectarlas.
11. testRules: Pruebas de reglas básicas. Se supone que estos ataques han de ser detectados mediante las reglas por defecto de los IDS/IPS.


Quiet: transmitiendo datos a través del sonido

Quiet es una librería para transmitir datos a través del sonido. Utiliza liquid-DSP (digital signal processing), una librería gratuita y de código abierto diseñada específicamente para software de radio en dispositivos embebidos.

Con Quiet es posible enviar datos a través de un conector de auriculares de 3,5 mm o a través del altavoz y el micrófono. También es posible hacer streaming a través de la tarjeta de sonido vía PortAudio o crear binarios independientes para codificar/descodificar datos a través de archivos .wav. También puede ser usado como una librería para ser utilizado por otros programas en C y también han Quiet.js para facilitar el uso de libquiet mediante javascript. Tenéis una demo online mediante la cual podéis comprobar como es posible transmitir datos entre dos navegadores compatibles:

https://quiet.github.io/quiet-js


Quiet viene con una serie de perfiles para facilitar la configuración del emisor y el receptor. Si se usa mediante altavoces se transmite alrededor del rango de los 19kHz, que es prácticamente imperceptible por el oído humano (cerca del ultrasonido). Si se transmite mediante cable es posible transmitir a una velocidad de más de 40kbps.

Tenéis el software y el resto de documentación en los repositorios de GitHub:

- https://github.com/quiet/quiet
- https://github.com/quiet/quiet-js

Número 69 del ezine Phrack: "The Fall of Hacker Groups"

Cuatro años hemos tenido que esperar para de repente y por fin toparnos con un nuevo número del eterno ezine... congratularos Phrackers!

Y a todos aquellos, como algunos usuarios de Netsec, que se mofan de que volverán a pasar muchos años hasta que volvamos a encontrar el siguiente número, les propongo mirarse al ombligo y preguntarse qué han hecho realmente ellos para la comunidad,   qué han aportado (si lo han hecho) y cuánto esfuerzo y horas de sueño han restado a muchas de sus noches para conseguirlo. 

Que valoren el esfuerzo de los demás y disfruten simplemente del conocimiento que ofrecen desinteresadamente. Pues son días de creatividad limitada, en los que vivimos ahogados por las preocupaciones y distraídos por tantas opciones de ocio. En la sociedad de la singularidad en la que importa sobresalir y diferenciarse del otro, la era del ego. 

Estamos muy lejos de la "conciencia colectiva" paradójicamente ahora estamos más conectados que nunca.  Lamentablemente el underground no es una excepción y por eso actualmente no hay muchos grupos de hackers y los que hay no logran tener el mismo impacto cultural que antes.

“Ninguno de nosotros es tan bueno como todos nosotros juntos” Ray Kroc.

"The Fall of Hacker Groups" no es el título del número 69 de Phrack pero si uno de los artículos que hablan sobre ésto y que os invito a leer (y reflexionar) junto con el resto:

Número 69 Phrank (descarga tar.gz)
IntroductionThe Phrack Staff
Phrack Prophile on Solar DesignerThe Phrack Staff
Phrack World NewsThe Phrack Staff
Linenoisevarious
LoopbackThe Phrack Staff
The Fall of Hacker GroupsStrauss
Revisiting Mac OS X Kernel RootkitsfG!
Adobe Shockwave - A case study on memory disclosureaaron portnoy
Modern Objective-C Exploitation Techniquesnemo
Self-patching Microsoft XML with misalignments and factorialsAlisa Esage
Internet Voting: A Requiem for the Dreamkerrnel
Attacking Ruby on Rails Applicationsjoernchen
Obituary for an Adobe Flash Player bughuku
OR'LYEH? The Shadow over Firefoxargp
How to hide a hook: A hypervisor for rootkitsuty & saman
International scenesvariou

¿Usas ImageMagick? Pues con sólo subir una imagen maliciosa pueden comprometer tu servidor web

ImageMagick es una famosa librería de código abierto para procesar imágenes, que soporta muchos lenguajes (Perl, C++, PHP, Python, Ruby) y que es utilizada en millones de sitios web, incluyendo blogs, foros y CMS como Drupal o WordPress.

Nikolay Ermishkin de Mail.Ru security team descubrió recientemente múltiples vulnerabilidades (CVE-2016-3714 a CVE-2016-3717) y las notificó a los desarrolladores de ImageMagick que intentaron corregirla en la versión 6.9.3-9 publicada el dí­a 30 de abril. Sin embargo las correcciones no fueron tales y su explotación sigue siendo posible... y como veremos a continuación bastante trivial.

1. CVE-2016-3714 - Filtrado insuficiende de parámetros que permite la ejecución (remota) de código

ImageMagick permite procesar archivos con librerí­as externas. Esta caracterí­stica se llama 'delegate' y se puede implementar simplemente añadiendo una cadena con el comando y los parámetros correspondientes en el fichero delegate.xml. Por ejemplo, un comando delegado para manejar peticiones HTTPS serí­a: "wget" -q -O "%o" "https:%M"

El problema es que no se filtran correctamente los parámetros %M y es posible inyectar comandos del sistema. En el ejemplo anterior basta con poner como parámetro "https://example.com"|ls "-la" e inmediatamente obtenemos un listado del path actual. Podéis comprobarlo rápidamente desde la línea de comandos con la utilidad convert:

convert 'https://example.com"|ls "-la' out.png
total 32
drwxr-xr-x 6 user group 204 Apr 29 23:08 .
drwxr-xr-x+ 232 user group 7888 Apr 30 10:37 ..
...

Un punto de acceso WiFi con nombre "Dispositivo de detonación móvil" retrasa un vuelo más de dos horas

El sábado pasado un avión de las aerolíneas australianas Qantas, concretamente el vuelo QF481 que se dirigía de Melbourne a Perth, retrasó su despegue más de dos horas debido a que detectaron un punto de acceso Wi-Fi con el nombre "Dispositivo de detonación móvil" (en inglés "Mobile Detonation Device").

Un miembro de la tripulación lo detectó e informó inmediatamente al capitán del vuelo, que a su vez transmitió un mensaje a los pasajeros avisando de que no despegarían hasta que no apareciera el dispositivo que estaba emitiendo ese SSID. Al oírlo muchos de los pasajeros (unos 50) se alarmaron y decidieron abandonar el vuelo, "algunos pasajeros eligieron no viajar así que tuvieron que desembarcar y recoger sus equipajes provocando el retraso" comentaba el portavoz de Qantas. Finalmente el vuelo despegó y llegó a Perth sin problemas.

El caso es que no estaba claro si el dispositivo móvil estaba vinculado al sistema de entretenimiento a bordo y, ni mucho menos, sabían su ubicación. La cobertura WiFi tenía bastante alcance por lo que podría haber sido cualquiera en el terminal o incluso desde otro avión en pista. 


Está claro es dificil que alguien que quisiera realmente atentar pusiera un nombre tan evidente, pero se trata de un claro ejemplo del terror que se puede causar realizando una acción tan simple como activar un punto de acceso y ponerle un nombre así.

Evidentemente la solución no pasa por inhibir todas las frecuencias y dejar sin cobertura a todo el aeropuerto, pero si surgen necesidades que urge acometer y que están al alcance de cualquiera que quiera mejorar la seguridad de estas infraestructuras. Y es que un sencillo sistema de detección de intrusiones con por ejemplo un WifiMapper de OpenSignal bastaría para parar a cualquier troll infame, ¿o no?


Fuentes:
- Imagine being on a plane and picking up a Wi-Fi hotspot called, ‘Mobile Detonation Device’.
- Terrifying Wi-Fi hotspot name causes chaos on Qantas plane
- Qantas plane delayed two hours after passenger reported security threat
- This is the worst Wi-Fi hotspot name any passenger could use on a plane
- Why You Should Never Name Your Hotspot 'Mobile Detonation Device' When Flying