Descubiertos dispositivos Android con troyano de la familia “Triada” instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia “Triada” instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.


Actualmente la lista de los terminales detectados con la muestra son los siguientes:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0

Filtración de 23000 certificados HTTPS

Se ha publicado la noticia de que han sido filtrados un total de 23000 certificados HTTPS. Una filtración que pone en riesgo las comunicaciones de cualquier usuario de la red con cualquier sitio web de la filtración.

Extraída de Hispasec Sistemas

HTTPS es un protocolo por el cual las comunicaciones (conexiones) entre usuario y sitio web son cifradas a través de un certificado que certifica que la entidad con la que estás estableciendo las comunicaciones es la que es, impidiendo que estas comunicaciones puedan ser leídas por agentes externos o intermediarios en la comunicación. Simplificado, HTTPS no es más que HTTP al cual se le añade una capa seguridad (cifrado) SSL/TLS. 

La filtración parece haberse producido a través de un correo electrónico por un CEO de “Trustico” a un vicepresidente de “Digicert”. Al parecer este correo venía con un adjunto que contenía hasta 23000 claves privadas de dichos certificados.



Trustico es una empresa que revende y gestiona certificados TLS de sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo



Si ya de por sí, es una mala práctica de seguridad el enviar claves privadas por correo electrónico, a esta se le suma el almacenaje de las claves privadas de los certificados. Una práctica que no debe realizar ninguna entidad certificadora, práctica que justificó la empresa por motivos de revocación



‘Trustico allows customers to generate a Certificate Signing Request and Private Key during the ordering process,” the statement read. “These Private Keys are stored in cold storage, for the purpose of revocation.’

 

Este hecho que traerá trabajo para los navegadores de Internet, deja en entredicho la seguridad de muchos sitios web y comercios electrónicos que pudieran estar gestionados por esta compañía, y que seguro que nos traerá noticias en los próximos días.

El mayor ataque DDoS de la historia mitigado en minutos

El 28 de Febrero, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos.

Es increible pero cierto, a pesar de nadie darse cuenta, GitHub fue atacada el pasado Miércoles. Sorprendentemente, la plataforma fue capaz de mitigarlo en minutos sin que los usuarios tuvieran afectación alguna.

Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbpsenviados a través de 126,9 millones de paquetes por segundo.

A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.

Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.

Estos servidores no están preparados para estar expuestos en línea. Según la empresaWIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.

Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediantefirewall, limitando la velocidad de los paquetes UDP de salida.

La empresa encargada de mitigar el ataque a GitHub fue Akamai ProlexicProlexicse hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.

A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.

Denegación de servicio en ISC BIND y DHCP

ISC ha liberado nuevas versiones del cliente y servidor DHCP, así como del servidor BIND, destinadas a solucionar vulnerabilidades que abren la puerta a ataques de denegación de servicio.

Internet Systems Consortium es una organización dedicada al desarrollo de software y consultoría orientada al soporte de la infraestructura de Internet. Entre otros, es conocida por el desarrollo de BIND, un servidor de nombres de dominio (DNS) y DHCP, una implementación cliente-servidor del protocolo con el mismo nombre. Ambos productos son muy usados en sistemas de todo el mundo y presentan vulnerabilidades que comentamos a continuación, todas ellas permitiendo denegación de servicio. Afortunadamente, a estas alturasno se tiene constancia de que estas vulnerabilidades se estén explotandoen la red.

La primera de ellas, con identificador CVE-2018-5732, se produce en el cliente de DHCP, conocido como dhclient. Concretamente, tiene lugar al procesar una respuesta de un servidor DHCP, que si tiene una sección de opciones especialmente diseñada, puede ocasionar un desbordamiento de memoria y el consiguiente cierre inesperado del cliente. No se descarta la posiblidad deejecutar código arbitrario en algunas circunstancias. Esta vulnerabilidad fue reportada por Felix Wilhelm, del equipo de seguridad de Google, y afecta a las versiones 4.1-ESV-R15-P14.3.6-P1 4.4.1.

En segundo lugar, identificada como CVE-2018-5733, tenemos una vulnerabilidad en el servidor de DHCP, llamado dhcpd. Básicamente consiste en que el servidor tiene un contador en memoria almacenado en 32 bits, que tras recibir una gran cantidad de paquetes de un cilente (del orden de miles de millones) puede desbordarse, con la posiblidad de cierre inesperado del servidor. Esta vulnerabilidad también fue reportada por Felix Wilhelm, y afecta a las versiones que afecta CVE-2018-5732.

Por último, la vulnerabilidad con identificador CVE-2018-5734 se produce en el servidor BIND al procesar una petición malformada. Específicamente,BIND al recibir un tipo concreto de paquete malformado selecciona como código de respuesta SERVFAIL, en vez de FORMERROR (que es la respuesta que indica que la petición DNS está malformada). Eso provoca que la aplicación ejecute una parte del código diferente (la parte que maneja las respuestas con SERVFAIL), y si se encuentra habilitada la caché de esta funcionalidad, se termina produciendo un fallo que ocasiona un cierre inesperado. La buena noticia es que este fallo no ha salido en ninguna versión pública del producto, sino en versiones con soporte de pago.

Todas las vulnerabilidades han sido corregidas a la hora de escribir este artículo, y se pueden corregir descargando la última version del software correspondiente en la sección de descargas de la página oficial del ISC:

https://www.isc.org/downloads/

Más información:

A specially constructed response from a malicious server can cause a buffer overflow in dhclient
https://kb.isc.org/article/AA-01565/75/CVE-2018-5732

A malicious client can overflow a reference counter in ISC dhcpd
https://kb.isc.org/article/AA-01567/75/CVE-2018-5733

A malformed request can trigger an assertion failure in badcache.c
https://kb.isc.org/article/AA-01562/74/CVE-2018-5734

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.
Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo “document ID” cuando éste excedía determinada longitud:

trailer <<  /Root 1 0 R  /ID   <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA><a>  >>

Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como “this.docID” podría generar el desbordamiento de memoria:

41 0 obj <<
>>
stream
this.docID;
endstream
endobj

Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.
Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.
Más información:
Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505
Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html

Actualización de seguridad en Drupal

El equipo de seguridad de Drupal ha publicado una actualización de seguridad considerada crítica para solucionar siete vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

A continuación un breve resumen de los fallos corregidos:

El primer fallo tiene asignado el CVE-2017-6926 y podría permitir a un atacante remoto los permisos adecuados para la publicación de respuesta en un post, acceder a información para la que no tenga privilegios e incluso comentar en él.

La segunda vulnerabilidad, CVE-2017-6927, se debe a un fallo en el sistema de protección de XSS, concretamente en la función Drupal.checkPlain(). Bajo ciertas circunstancias un atacante podría saltarse la función de escapado permitiendo la inclusión de código.

El fallo identificado con CVE-2017-6928, podría permitir, bajo ciertas circunstancia, la descarga de ficheros no autorizados para el usuario, a través de su gestor de ficheros.

Una vulnerabilidad de cross site scripting cuando se acede a dominios no verificados desde jQuery, identificada con el CVE-2017-6929.

Un fallo al usar el control de lenguaje en sistemas Drupal multilenguaje en función del origen, y forzar un lenguaje sin traducción disponible podría ocasionar el acceso a información no autorizada. Esta vulnerabilidad está asociada con el CVE-2017-6930.

Un fallo en el módulo de la bandeja de ajuste podría permitir a un usuario modificar información para la que no tendría privilegios. Este fallo está identificado bajo CVE-2017-6931.

Y por último, identificada con el CVE-2017-6932. Un fallo cuando el bloqueador de selector de idioma está activado, podría permitir la inclusión de una web externa en la web de error 404.

Los problemas afectan a las ramas 8 y 7 de Drupal. Se recomienda la actualización a Drupal 8.4.5 y 7.57 respectivamente.

Más información:

OMG convierte dispositivos IoT en servidores proxy

 

Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.

Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com


La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huaweiusaban contraseñas por defecto en ZyXel o atacaban a software de minado.

Diagrama de funcionamiento de OMG. Obtenida de Fortinet

Por supuesto, la nueva variante OMG (llamada así por la presencia de las cadenas’/bin/busybox OOMGA’ y OOMGA: applet not found‘ en su interior) no podía ser menos. La presencia de los módulos de Mirai en su código indica que, de serie, puede usar las mismas técnicas que la botnet original. Pero además incluye la opción inédita: la capacidad de usar los dispositivos IoT infectados como servidores proxy.


Detalle de la configuración para elección de modo. Obtenida de Fortinet

Una vez infectado el dispositivo, OMG comunica la infección al servidor C&C, que le responde con un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser usado como servidor proxy. Para ello selecciona dos puertos al azar (‘http_proxy_port’ y ‘socks_proxy_port’), que son comunicados al servidor C&C, y configura una regla de firewall para permitir el trafico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.

Esta variante ha sido descubierta por un equipo de investigadores de Fortinet. Según ellos, la posible motivación de esta funcionalidad es el cobro por el uso de la red de proxies:

Cybercriminals use proxies to add anonymity when doing various dirty work such as cyber theft, hacking into a system, etc. One way to earn money with proxy servers is to sell the access to these servers to other cybercriminals. This is what we think the motivation is behind this latest Mirai-based bot.

En su post se cubre en más detalle el funcionamiento y se aportan IOCs. Precisamente un miembro del equipo, Dario Durando, estará esta semana en la RootedCon con una charla llamada “IoT: Battle of Bots” donde cubrirá las diferentes variantes de Mirai aparecidas.


Más información:
 

Las 10 mejores viñetas de Dilbert de seguridad informática

Dilbert es una viñeta creada por Scott Adams en 1989. La viñeta de Dilbert es vastamente conocida dentro de los que nos dedicamos a la tecnología, debido en gran parte, por la empatía que nos transmite el protagonista.


La viñeta de Dilbert empezó apareciendo en periódicos hace 29 años, hoy día la tenemos disponible a través de su página web, (existe una versión traducida al castellano). También podemos encontrar una serie de capítulos animados, que se publicaron en 1999.


En la una al día de hoy, queremos hacerle un pequeño homenaje, mostrando las 10 viñetas relacionadas con la seguridad que nos han gustado más. Espero que la disfruten y que sea un gran descubrimiento para aquellos que aún no lo conozcan.
#1

#2

#3

#4

#5

#6

#7

#8

#9

#10

 


Más información:
 

Boletines de seguridad para Asterisk

Asterisk ha publicado seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras tantas vulnerabilidades que podrían permitir ataques de denegación de servicio

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor deVoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris Microsoft Windows.

Las vulnerabilidades, ordenadas por boletín, son las siguientes:

  • AST-2018-001: un problema que podría causar un bloqueo cuando una consulta a los registros del soporte RTP para un ‘payload’ dinámico resulta en un ‘codec’ de tipo diferente al negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
  • AST-2018-002: un error al procesar la descripción de formato de medios no válidos con el algoritmo de análisis ‘sdp’ de ‘pjproject’. No se ha asignado ningún identificador CVE a este problema que afecta a las versiones de Asterisk Open Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
  • AST-2018-003: un error producido al utilizar el controlador de canal‘pjsip’ cuando la función de recuperación ‘fmtp’ de ‘pjproject’ no es capaz de verificar si el valor del atributo ‘fmtp’ está vacío (se establece como vacío si se analizó previamente como no válido). Este problema, sin CVE asignado, afecta a Asterisk Open Source 13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
  • AST-2018-004: una falta de comprobación de la cantidad de cabeceras‘Accept’ cuando el módulo ‘res_pjsip_pubsub’ procesa una peticiónSUBSCRIBE que podría causar una escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source y la versión 13.18 de Certified Asterisk.
  • AST-2018-005: un fallo de segmentación podría ocurrir al recibir un gran número de mensajes INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk 13.18.
  • AST-2018-0016: una falta de comprobación de la longitud de los‘websocket’ podría causar un bloqueo al intentar leer un ‘payload’ de tamaño 0. Esta vulnerabilidad, identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de Asterisk con el servidor HTTP habilitado (por defecto no lo está). Afecta a la rama 15.x deAsterisk Open Source.

Se han publicado las versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 yCertified Asterisk 13.18-cert3 que solucionan los problemas anteriormente descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.

Más información:
 
AST-2018-001: Crash when receiving unnegotiated dynamic payload:
http://downloads.asterisk.org/pub/security/AST-2018-001.html

 
AST-2018-002: Crash when given an invalid SDP media format description:
http://downloads.asterisk.org/pub/security/AST-2018-002.html

 
AST-2018-003: Crash with an invalid SDP fmtp attribute:
http://downloads.asterisk.org/pub/security/AST-2018-003.html

 
AST-2018-004: Crash when receiving SUBSCRIBE request:
http://downloads.asterisk.org/pub/security/AST-2018-004.html

 
AST-2018-005: Crash when large numbers of TCP connections are closed suddenly:

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

 

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

La comunicación con los servidores de actualización no está cifrada. Cuando la aplicación comprueba las actualizaciones espera recuperar un archivo en texto plano con un formato determinado. Si dentro de este fichero se encuentra una nueva actualización, el paquete RPM se descargará sin ningún tipo de validación, lo que facilitaría a un atacante instalar una actualización maliciosa en el sistema.

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

El fragmento de código responsable de descargar el archivo de actualización‘(com/ident/pmg/web/CheckForUpdates.java)’ permite que un atacante pueda controlar la ruta donde se va a descargar el fichero de actualización. El archivo RPM es escrito como root con permisos 0644. Lo que permite varios vectores de ejecución de código. El vector presentado por los descubridores de la vulnerabilidad consiste en la creación de una tarea cron en el directorio ‘/etc/cron.d’.

Vulnerabilidad 3 (Actualizaciones sin validar)

El mecanismo de actualización presentado en la vulnerabilidad 2 no valida el archivo RPM descargado. Un atacante podría alterar el archivo RPM e inyectar el suyo propio, siempre que se encuentre en una posición Man in the Middle. Los investigadores ha hecho una prueba de concepto creando un archivo RPM malicioso capaz de ejecutar una ‘shell’ inversa.

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)

La ubicación de los archivos de log se puede modificar en el fichero ‘logConfiguration.do’. Un atacante podría redigir los logs de MimeBuildServer a /opt/Tomcat/Webapps/root/Pepito.jsp para posteriormente modificar su configuración e incluir código JSP arbitrario, que será ejecutado la próxima vez que se reinicie el servicio.

Vulnerabilidad 5 (Registro sin validación)

El registro de dispositivos se habilita para que los administradores del sistema configuren los dispositivos virtuales al implementarlo. Sin embargo es accesible sin autenticación incluso después de que el dispositivo esté configurado, lo que permitiría a los atacantes establecer parámetros de configuración como nombre de usuario y contraseña de administrador.

Vulnerabilidad 6 (Cross Site Request Forgery)

No hay protección contra CSRF en ningún formulario de la interfaz web. Esto permitiría a un atacante enviar solicitudes autenticadas cuando un usuario autenticado examina un dominio controlado por el atacante. Se podría combinar con la vulnerabilidad 4 y ejecutar código arbitrario de forma remota. También se puede combinar con la vulnerabilidad 2 y la 3, lo que también podría llevar a la ejecución remota de comandos.

Vulnerabilidad 7 (XML External Entity Injection)

El parámetro ‘pciExceptionXml’ del script ‘Configuration.jsp’ es vulnerable a‘XML External Entity Injection’. La prueba de concepto utiliza entidades externas para enviar el archivo ‘/etc/shadow’ a un servidor externo. Requiere que el usuario esté autenticado dentro de la consola web, por lo que el atacante necesitará obtener primero unas credenciales válidas. Los posibles vectores para lograr esto incluyen cualquiera de los ataques XSS o la explotación de la vulnerabilidad XSRF.

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Los parámetros ‘deniedKeysExpireTimeout’ y ‘keyAge’ del script‘keymanserverconfig.jsp’ son vulnerables a XSS.

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Los parámetros:
‘decryptionXHeader’, ‘encryptionXHeader’, ‘meetingRequestEmailText’, ‘zdAttachmentPayloadTemplate’, ‘zdAttachmentTemplate’, ‘zdMainTemplate’, ‘zdMainTemplateZdv4‘ son vulnerables a XSS.

Vulnerabilidad 10 (Stored Cross Site Scripting)

El parámetro ‘hideEmails’ del script ‘editPolicy.jsp’ es vulnerable a cross-site scripting. La siguiente solicitud agrega una directiva para la dirección de correo electrónico, la entrada se almacenará de forma no escapada y será renderizada cada vez que se ejecute el script ‘Policies.do’

Vulnerabilidad 11 (SQL Injection)

El parámetro ‘hidEdittld’ del script ‘policies.jsp’ es vulnerable a SQL-Injection. El script lee un parámetro ‘hidEdittld’ y lo reenvía al script ‘editPolicy.jsp’ este script pasará sin ninguna modificación el parámetro al método ‘loadRuleDetails’de la clase ‘formEditPolicy’, y lo usa para generar una instrucción SQL.

Vulnerabilidad 12 (SQL Injection)

El parámetro ‘hidRuleId’ del script ‘editPolicy.jsp’ es vulnerable a SQL Injection. El script lee el parámetro ‘hidRuleId’ y llama a ‘DeletePolicy’ sin hacer ninguna comprobación de seguridad sobre lo insertado.

Vulnerabilidad 13 (SQL Injection)

El parámetro ‘SearchString’ del script ‘emailSearch.jsp’ es vulnerable a SQL Injection.

CVE

  • CVE-2018-6219
  • CVE-2018-6220
  • CVE-2018-6221
  • CVE-2018-6222
  • CVE-2018-6223
  • CVE-2018-6224
  • CVE-2018-6225
  • CVE-2018-6226
  • CVE-2018-6227
  • CVE-2018-6228
  • CVE-2018-6229
  • CVE-2018-6230

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities


Post original