Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

scp

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.

SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.

Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.

El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:

  • CWE-20 (CVE-2018-20685):  validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío (“D0777 0 \n”) o con punto (“D0777 0 .\n”).
  • CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro “-r”, también pueden copiarse carpetas sin validación.
  • CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
  • CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.

Algunos de los clientes afectados son OpenSSH scp (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP scp (hasta la versión 5.13). Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.

Fuente:

scp client multiple vulnerabilities:
https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

Oracle corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

  • Oracle Database Server
  • Oracle Communications Applications
  • Oracle Construction and Engineering Suite
  • Oracle E-Business Suite
  • Oracle Enterprise Manager Products Suite
  • Oracle Financial Services Applications
  • Oracle Food and Beverage Applications
  • Oracle Fusion Middleware
  • Oracle Health Sciences Applications
  • Oracle Hospitality Applications
  • Oracle Hyperion
  • Oracle Insurance Applications
  • Oracle Java SE
  • Oracle JD Edwards Products
  • Oracle MySQL
  • Oracle PeopleSoft Products
  • Oracle Retail Applications
  • Oracle Siebel CRM
  • Oracle Sun Systems Products Suite
  • Oracle Supply Chain Products Suite
  • Oracle Support Tools
  • Oracle Utilities Applications
  • Oracle Virtualization

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.
  • 33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.
  • Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.
  • 11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
  • Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.
  • 6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).
  • 62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).
  • 6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
  • 5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).
  • Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.
  • Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.
  • En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.
  • La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.
  • Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).
  • Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.
  • También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).
  • Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.
  • 11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
  • Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.
  • Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.
  • Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.
  • Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).

Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:

Oracle Critical Patch Update Advisory – January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

XSS en Fornite permite el robo de cuentas

Se ha descubierto una brecha de información en el famoso juego multiplataforma Fornite de Epic Games que afecta a sus usuarios; dejando al descubierto información que podría ser aprovechada para ganar acceso a las cuentas de los jugadores donde pueden estar registradas sus tarjetas de crédito, pudiendo así comprar mejoras del juego y revenderlas.

Para los que no lo conozcan, Fornite es un juego lanzado por Epic Games en julio de 2017. Inicialmente los jugadores tenían que cooperar online para sobrevivir a una epidemia de muertos vivientes que intentan conquistar la Tierra. Posteriormente lanzaron la versión de Battle Royal, que fue la que impulsó este juego a la fama.

Actualmente hay más de 200 millones de usuarios registrados y se juegan cerca de 80 millones de partidas al mes.

Desde hace un tiempo se están detectando ataques de phishing hacia los jugadores de Fornite, pero los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la empresa Check Point decidieron buscar una alternativa más “sofisticada y siniestra” como describen ellos.
A raíz del descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.

El fallo encontrado tiene varios factores que lo hacen posible:

  • Un XSS en un antiguo dominio de Epic Games, http://ut2004stats.epicgames.com, actualmente deshabilitado.
    http://ut2004stats.epicgames.com/index.php?stats=map&SearchName=[Código JS]
  • Un redirector que se pasa como parámetro en la URL que se genera cuando el jugador pulsar ‘Sign In’, y es fácilmente manipulable.
  • El uso de SSO o Single Sign-On, con las plataformas PlayStationNetwork, Xbox Live, Nintendo, Facebook y Google+

Siguiendo ese vector de ataque fue posible conseguir las credenciales de jugadores, como podemos ver en el siguiente video:

El equipo describe detalladamente en su post el flujo de ejecución del ataque.