Múltiples vulnerabilidades en Dell EMC Isilon OneFS

Se ha publicado el boletín de seguridad DSA-2018-018 que resuelve 9 vulnerabilidades en Dell EMC Isilon OneFS.



OneFS es un sistema operativo diseñado para ‘big data’ que combina las capas de sistema de archivos, administrador de volúmenes y protección de datos en una capa de software unificada que abarca todos los nodos de un clúster. Es utilizado en las soluciones empresariales de almacenamiento NAS de escalamiento horizontal EMC Isilon.

Las vulnerabilidades se pueden englobar en 4 tipos:

  • Cross-Site Scripting (XSS) persistente en diferentes páginas del interfaz webde administración: el parámetro ‘description‘ en ‘Cluster Description‘ (CVE-2018-1186), la ‘Network Configuration‘ (CVE-2018-1187) y ‘Job Operations‘ (CVE-2018-1201), el parámetro ‘realm‘ en ‘Authorization Providers‘ (CVE-2018-1188), y el parámetro ‘name‘ en ‘Antivirus‘ (CVE-2018-1189) y ‘NDMP’ (CVE-2018-1202).
  • Un error al manejar los permisos podría permitir al usuario ‘compadmin‘ (el cual tiene menores privilegios que el usuario ‘root‘) elevar sus privilegios locales a través de la llamada al binario ‘tcpdump y ejecutar código arbitrario con permisos de ‘root‘ (CVE-2018-1203).
  • Ruta transversal en la aplicación ‘isi_phone_home que podría, al igual que la anterior, permitir a un usuario ‘compadmin‘ ejecutar el código Python arbitrario con privilegios de ‘root‘ (CVE-2018-1204).
  • Falsificación de petición en sitios cruzados (CVE-2018-1213). La falta de tokens ‘anti-CSRF‘ en los formularios de la interfaz web podría permitir a un atacante enviar solicitudes autenticadas (por ejemplo para para agregar nuevos usuarios con acceso SSH o reasignar directorios de almacenamiento existentes para permitir el acceso de lectura-escritura-ejecución a todos los usuarios) cuando un usuario autenticado examine un dominio controlado por un atacante.

Para esta última vulnerabilidad se propone la siguiente prueba de concepto que permite crear un nuevo usuario y asignarle suficientes privilegios para iniciar sesión a través de SSH, configurar identidades, administrar proveedores de autenticación, configurar el clúster y ejecutar las herramientas de soporte remoto.

PoC para la vulnerabilidad CVE-2018-1213

EMC ha liberado actualizaciones para todas las versiones del sistema que se encuentran afectadas: 7.1.1.11, 7.2.1.x, 8.0.0.x, 8.0.1.x y 8.1.0.x.

Más información:
 
Dell EMC Isilon OneFS Multiple Vulnerabilities:

Arrestado el líder detrás de Cobalt y Carbanak.

El líder de la banda detrás de Carbanak y Cobalt, malwares que tenían como objetivo cerca de 100 instituciones financieras alrededor del mundo, ha sido detenido en Alicante, España. La detención se ha producido gracias a la colaboración de las autoridades españolas, en colaboración con la Europol, el FBI y autoridades rumanas, bielorrusas y taiwanesas.

 

Desde 2013, la banda ha intentado atacar distintas entidades bancarias, concretamente los sistemas de pago electrónico usando distintas piezas de malware diseñados por ellos. Esta banda logró afectar a bancos de más de 40 paises y provocado pérdidas cercanas a mil millones en la industria. La magnitud de las pérdidas es enorme, ya que permitió a los atacantes robar cerca de 10 millones de euros por ataque.

El modus operandi del grupo criminal comenzó a finales de 2013, lanzando el malwareAnunak dirigido a cajeros automáticos de distintas instituciones bancarias alrededor del mundo. Al año siguiente, los autores de Anunak mejoraron el código del malware a una versión más sofisticada llamada Carbanak, usado hasta finales de 2016. A partir de entonces, los autores dedicaron sus esfuerzos a desarrollar unas oleadas de ataques más sofisticadas usando Cobalt Strike, un software de pentesting.

Flujo de negocio del malware. Extraído de europol.europa.eu.


En todos estos ataques se utilizaba un modus operandi similar, los criminales enviarían a empleados de la banca correos cuyo contenido era spear-phishing (phishing dirigido a usuarios concretos) con un archivo adjunto malicioso. Al ser descargado, el software permitía a los criminales controlar remotamente las máquinas de las víctimas, y obtener acceso a la red interna del banco para poder infectar los servidores que controlan los cajeros automáticos. Gracias a esto, los atacantes poseían la información suficiente para poder extraer dinero de los cajeros.

Para poder sacar dinero, los atacantes enviaban órdenes a los cajeros de manera remota. El dinero era recolectado por grupos criminales organizados, que daban soporte al sindicato criminal principal. Al enviarse la orden, un miembro del grupo estaba esperando cerca de la máquina para extraer el dinero del cajero. La red de pagos electrónicos se utilizaba para transferir el dinero a otras cuentas de la organización o de distintas entidades bancarias. Las bases de datos también eran manipuladas, para aumentar las cantidades de dinero que luego eran extraidas por las mulas. Finalmente, el dinero se lavaba a través de criptomonedas, utilizadas para comprar casas y coches de lujo.

La Europol facilitó el intercambio de información entre las distintas partes de la investigación, quienes de la misma manera afirma: “El arresto de la figura clave en este caso confirma que los cibercriminales no pueden continuar escondiendose detrás de la anonimidad internacional.”

Más información:
 

XSS en WordPress Plugin Duplicator

Permite que código arbitrario JavaScript pueda ser ejecutado en el lado del cliente si un atacante persuade a la víctima para que pulse sobre la URL bajo el control de éste.

El plugin Duplicator realiza la migración de datos al vuelo entre hosts que tengan instalado el CMS WordPress. Permite tanto backups completos del sitio como partes del mismo.

Simplemente con instalarlo y a golpe de ratón, los usuarios que tengan su blog u ofrezcan algún tipo de servicio pueden utilizarlo para por ejemplo, mover su sitio a otro hosting que le ofrezca un mejor precio.

Como has podido deducir, un gran número de sitios tienen este tipo de plugins. En este caso el Plugin Duplicator tiene según el autor +1 millón de instalaciones. La versión afectada es la 1.2.32 (aunque es probable que las anteriores también lo sean).

Según en las instrucciones de la web del autor, la ruta de instalación se encuentra en:
/wp-content/plugins/duplicator

Vamos a investigar qué nos cuenta Google indicando la ruta de instalación:

Se puede acotar la búsqueda para localizar el fichero “Readme” que contiene información útil como puede ser la versión actual del plugin. Ampliamos la búsqueda para que nos muestre el contenido del “Index Of” del directorio en cuestión:

Comprobamos la versión actualmente instalada:

Para explotar esta vulnerabilidad XSS el atacante debe enviar la siguiente petición POST al servidor:

POST /wp-content/plugins/duplicator/installer/build/view.step4.php

Finalmente se obtendría la respuesta donde se ve la cadena inyectada:

Esta vulnerabilidad se puede explotar si el instalador no ha sido eliminado por el administrador del sitio.
Se recomienda actualizar este plugin a la última versión disponible. En este caso a la 1.2.34.

Más información:

WordPress Plugin Duplicator 1.2.32 – Cross-Site Scripting
https://www.exploit-db.com/exploits/44288/

Duplicator – WordPress Migration Plugin
https://wordpress.org/plugins/duplicator/#description

SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa unavulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.
Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend Micro “Nabeel Ahmed ha descubierto una vulnerabilidad de fuga de información (Windows )que podría permitir a los atacantes obtener información para comprometer el sistema.El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).

Microsoft corrigió la vulnerabilidad este mismo mes. Por ello, el investigador ha lanzado los detalles técnicos y el código de la prueba de concepto.

El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.

A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:

  • phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada.
  • phoneNum_To: El número de los atacantes que simulará ser el banco.
  • phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
  • phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.
Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:

  • Versiones anteriores a Android 6 especificarán el permiso de ‘android.permission.SYSTEM_ALERT_WINDOW‘ en el ‘manifest’ de la aplicación, por lo que se notificará en la instalación.
  • En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el ‘manifest’ y la aplicación proviene de Google Play.
  • A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.
Configuraciones específicas para diferentes pantallas. Fuente: https://www.symantec.com

Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.

Más información:
 

Ubuntu, Arch y Fedora afectadas por una vulnerabilidad en el kernel

La vulnerabilidad con código CVE-2013-1763 afecta a un amplio rango de distribuciones, entre ellas Fedora, Ubuntu y Arch Linux. Esta vulnerabilidad, cuenta además con el código para explotarla, que permite obtener privilegios de root. En esta entrada analizaremos cómo se obtienen dichos privilegios.

Esta vulnerabilidad afecta a las versiones del kernel 3.0-37.10 y se encuentra en ‘net/core/sock_diag.c‘ donde la función ‘__sock_diag_rcv_msg’ no hace hace una comprobación de `bounds check` del array ‘sock_diag_handles’ provocando una ‘out-of-bounds exception’ y permitiendo a usuarios sin privilegios de root obtenerlo.

En los sistemas Linux de 32 bits, cada proceso virtualizará 4GB de espacio de memoria, siendo 3GB de estos el espacio de usuario y 1GB el espacio del kernel. En este caso el rango de user-space es 00000000 a 0xBFFFFFFF y el espacio de kernel 0xC0000000 a 0xFFFFFFFF. El espacio del kernel es compartido por todos los procesos sin embargo, sólo pueden acceder los procesos que se estén ejecutando en kernel-mode. Los procesos a nivel de usuario pueden acceder a kernel-mode a través de `syscalls`. Si un proceso se ejecuta en kernel-mode, las direcciones generadas pertenecen al espacio del kernel.

Las funciones ‘commit_creds’ y ‘prepare_kernel_cred’ son funciones del kernel y para poder ejecutarlas tendríamos que pasar a kernel-mode; por tanto si la función ‘__sock_diag_rcv_msg’ se ejecuta en kernel-mode, podemos aprovecharla para ganar privilegios de root.

Se aplica un mmap al rango de memoria 0x10000-0x120000, incluyendo una serie de NOPs hasta poder colocar correctamente la payload que salta al código que pertenece a kernel-mode. En Ubuntu, no se puede obtener el valor de la variable ‘rehash_time’ de dicho rango de memoria, por lo que sólo es válido el siguiente método para obtenerla:

`sudo cat /boot/System.map-3.5.0-17-generic`

Tras conseguir toda esta información, el usuario puede obtener privilegios de root. Como contra, para poder ejecutar este exploit más de una vez, es necesario reiniciar el sistema operativo.

Más información:

CVE-2013-1763:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1763

Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) – ‘SOCK_DIAG’ SMEP Bypass Local Privilege Escalation:

Ejecución de código y LFI en WooCommerce Product Filter

Vulnerabilidades de ejecución de código arbitrario y carga local de ficheros en un plugin de WooCommerce

Resultado de imagen de woocommerce

WooCommerce es una extensión para WordPress que permite implementar tiendas de comercio electrónico utilizando la popular plataforma de blogs. Existen numerosos plugins para extender su funcionalidad o facilitar su administración. Recientemente se han encontrado dos vulnerabilidades graves que afectan a una de estas extensiones:WooCommerce Product Filter.

La primera vulnerabilidad se encuentra en uno de los “short-code” que implementa el plugin: ‘woof_products’. Al no validar correctamente el argumento ‘custom_tpl’ podría utilizarse para cargar un fichero local de la siguiente manera:

[woof_products custom_tpl=”../../../../../../../../../etc/passwd”][/woof_products]

custom_tpl se pasa como argumento a render_html, donde tampoco se valida correctamente. Fuente: http://wphutte.com
En este punto se evalúa $pagepath, que contiene los datos sin validar de custom_tpl. Fuente: http://wphutte.com

Este fallo no sería tan grave si no existiera la segunda vulnerabilidad, que permitiría a un usuario sin privilegios ejecutar código arbitrario en la función ‘admin-ajax.php’ y evaluar el short-code anterior, llevando a cabo el LFI:

POST /wp-admin/admin-ajax.php HTTP/1.1
[…]
action=woof_redraw_woof&shortcode=<<shortcode sin >>

Estas dos vulnerabilidades afectan a WooCommerce Products Filter versión 1.1.9 y anteriores. Se recomienda actualizar a la versión 2.2.0 inmediatamente.
Link de descarga para la actualización:

ClickShare

Sistemas de presentación inalámbrica

 

Los componentes de ClickShare más representativos, los ClickShare Buttons, son los responsables de que ClickShare se llame así. Conecte uno de estos dispositivos USB al portátil, inicie la aplicación y presione el botón. Comparta su contenido a través del equipo de AV de la sala de reuniones.

Para asegurarse de que el contenido se muestra en la pantalla adecuada, cada ClickShare Button está emparejado con una ClickShare Base Unit. El proceso de emparejamiento es rápido y sencillo. Por este motivo, los ClickShare Buttons se pueden transferir de una sala de reunión a otra sin problemas. Se pueden emparejar varios ClickShare Buttons a la ClickShare Base Unit, y puede mostrarse en pantalla el contenido de hasta cuatro personas a la vez.

Para asegurarse de que el contenido se muestra en la pantalla adecuada, cada botón de ClickShare está emparejado con una unidad de base de ClickShare. El proceso de emparejamiento es rápido y sencillo. Por este motivo, los botones de ClickShare se pueden transferir de una sala de reunión a otra sin problemas. Se pueden emparejar varios botones de ClickShare a la unidad de base de ClickShare, y puede mostrarse en pantalla el contenido de hasta cuatro personas a la vez.

Resultado de imagen para click share

Especificaciones

peso 75 g/0,165 lb
Banda de frecuencia 2,4 GHZ y 5 GHz
Protocolo de transmisión inalámbrico IEEE 802.11 a/b/g/n
Protocolo de autenticación WPA2-PSK en modo independiente
WPA2-PSK o IEEE 802.1X en modo de integración de red
Dimensiones (Al x An x P) 16,3 mm x 59,3 mm x 162,52 mm / 0,64” x 2,335” x 6,398”
consumo de potencia Alimentación por USB
5 V CC
350 mA típico
500 mA máximo

 

Resultado de imagen para click shareResultado de imagen para click share

 

 

Representante

Barco

https://www.barco.com/