* FrSIRT Advisory: ADV-2007-4021
* Bugtraq ID: 26596
* OSVDB ID: 38792
* Secunia Advisory ID: 27834
* CVE ID: 2007-6156 (ver también: NVD)

Esto además de alimentar mi ego me incentiva para seguir buscando errores en aplicaciones web de código abierto.

Compártelo

Sigo esperando una rectificación por parte de KJ.

Compártelo

Aplicaciones afectadas:
———————–
- Basic Analysis and Security Engine

Versiones afectadas:
——————–
- BASE 1.3.8(jodie)

Sistemas operativos afectados:
——————————
- Multiplataforma(Aplicación web escrita en php)

Versiones no afectadas:
———————–
- Iguales o superiores a BASE 1.3.9(anne)

Descripción del producto:
————————–
BASE(http://sourceforge.net/projects/secureideas/) es una interfaz
web de administración de alertas del detector de intrusos Snort.Está escrita
en php y soporta varias BBDD, entre ellas MySQL, Postgree, etc.
Es el producto más utilizado para ver/clasificar las alertas de Snort.
Su origen es el ya historia ACID( Analisys Control Intrusion Detection ).

Descripción de la vulnerabilidad:
———————————
La vulnerabilidad se debe a la mala validación de los parametros de
entrada en el fichero base_qry_main.php. Concretamente los parámetros
sig%5B0%5D y sig%5B1%5D.

Detalles técnicos:
——————
La explotación de estas vulnerabilidades es posible haciendo
tampering de los parametros mencionados y cambiando su valor por algún vector
de ataque XSS como el siguiente:

‘;!–” <script> alert (document.cookie); </script>

Soluciones:
———-
- Actualice el software a la última versión disponible por el fabricante (actualmente v1.3.9)

Histórico:
—————-

24/09/2007 - Vulnerabilidad descubiertas
– Primera notificación a Secureideas
– Secureideas solicita información más extensa
– Proporciono dicha información y abro el bug en Bugtrack #1801192
13/10/2007 - Secureideas asigna al bug una prioridad alta(9)
20/11/2007 - Secureideas informa de que el bug ha sido arreglado.
- Se publica la versión 1.3.9(anne)
28/11/2007 - El bug es publicado por el FSIRT(FrSIRT/ADV-2007-4021)

Descargar advisory (Spanish):SIAADV-07-005-ES.txt

Descargar advisory (English):SIAADV-07-005-EN.txt

Compártelo

Claro que si entras en el CHANGELOG de BASE no verás mención alguna hacia mi persona en relación con el bug de seguridad por Cross Site Scripting, aunque en BUGTRACK pueda verse claramente que la persona que descubrió el bug es la persona que hizo el documento sobre BASE+Snort en Slackware( osea yo mismo), y esto esté admitido en el CVS del documento en cuestión e incluso en el propio CHANGELOG de BASE:

Puede pensarse que esto es una cuestión de ego. En efecto, lo es.
Pero también tengo que decir que no puede arrebatarseme lo que es mio, agradezco a Kevin Johnson( lider del proyecto BASE, en adelante KJ ) su trabajo en la aplicación pero no puedo pasar por alto este grave fallo y así se lo he hecho saber por correo electrónico.

Desde que descubrí el fallo he estado a su completa disposición, y he aportado documentación para resolverlo a la mayor brevedad posible.
Pero es muy facil adjudicarse el trabajo ajeno y aparecer en la foto.

Hoy veo que el FSIRT(French Security Incident Response Team) se hace eco de esta vulnerabilidad y la ha publicado, por supuesto y dado que desde el proyecto BASE se ningunea mi trabajo podemos ver que en los creditos del bug no hay mención alguna hacia mi persona:

Se lo he hecho saber al FSIRT y también a KJ. Del FSIRT aún no he recibido respuesta y del intercambio de correos con KJ solo veo por su parte lo doloroso que le es dedicar su tiempo libre a un proyecto OpenSource, bla bla bla.
Si KJ, sé lo que es dedicar tiempo a actividades que no repercutirán directamente sobre tu bolsillo. Dedico bastante tiempo a participar en la comunidad Slackware, a proveerla de documentación, paquetes, intervengo en foros, canales de IRC, He participado en la creación de proyectos como Open-Eslack, comunidad de la que sigo formando parte e incluso creo mis propios proyectos como XSSnortRules o “Embajadores Slackware”, que estoy madurando antes de darle el escopetazo definitivo.
Además de todo eso KJ, también le dedico mi tiempo a buscar fallos de seguridad en aplicaciones de mi interés, tal es el caso de BASE.

Pero no te preocupes KJ, lo bueno de las licencias OpenSource es que aunque te adjudiques mi trabajo, el código es libre y por tanto puede crearse un fork de BASE facilmente.

Así son las cosas y así se las hemos contado.

Compártelo

En esta ocasión el escenario no cambia: internet, repite parte del reparto con m313( yo mismo ) y mi libro( la guia de Snort ) y hay nuevos actores en escena: Sourcefire, o lo que es lo mismo: la empresa propietaria de Snort.
La trama es la ya conocida, han publicado mi guia en la web oficial !!!!

Seguimos en la cresta de la ola

Compártelo

Sin embargo el alcance de estas vulnerabilidades va mucho más allá de esta simple inyección. Las posibilidades son infinitas cuando hablamos de ejecución de código remoto, con una importancia mayor aún si cabe cuando tratamos XSS permanentes. Pruebas de esta importancia son los tuneles XSS, pruebas de concepto como la del ya famoso Jikto( cuyo código disponemos ya todos ), o herramientas de secuestro del navegador cada dia más maduras, como el ejemplo de BeEF.

Este post viene al caso no solo para quejarme publicamente sobre el desprecio generalizado antes estas fallas, sino a la decepción que me he llevado recientemente al descubrir y reportar una de ellas.
Se trata del ya famoso BASE, la interfaz escrita en php para administrar alertas del detector de intrusos Snort.
El dia 24 de Septiembre del mes pasado(hace ya 10 días) descubrí un XSS en BASE, lo evidencié en forma de imagenes:

que remití a los desarrolladores. Mi correo fue contestado muy rapidamente por Kevin Johnson, el lider del proyecto, agradeciendome el reporte, pidiendome información concreta sobre la vulnerabilidad y comentandome que intentarían arreglarlo ese mismo dia.

Tras 10 días no solo sigue aún sin resolver, sino que el bug que abrí en Bugtrack tiene una prioridad media y no ha sido asignado a nadie. Por otro lado en el CVS del fichero afectado en cuestión no hay ninguna entrada que haga referencia alguna a esta vulnerabilidad.

Como curiosidad dejo un pantallazo de la inserción de un enlace, apuntando hacia un supuesto código maligno:

Estaré pendiente de la resolución.

Compártelo

Estas cosas que no dan dinero y muchas veces más disgustos que alegrías, pero que en un día como hoy elevan mi ego hasta límites insospechados.

Compártelo

Esta guía es una ampliación y actualización sobre el documento “Guía Snort + MySQL + “ACID + PHP en Slackware 10.1″ que realizé haze algo más de un año.Las razones por las cuales me he decidido a actualizar dicho trabajo son varias: la actualización del software utilizado para construir el IDS (Detector de Intrusos) por ejemplo el salto a PHP5 y Apache2, e incluso la modificación del mismo (en esta ocasión cambiamos el gestor ACID por BASE) , la puesta al dia de manera más general, ya que en la anterior estaba muy marcado su uso para la distribución de Linux Slackware en una versión concreta. En esta ocasión utilizo Slackware como distribución y aunque algún paquete está construido especialmente por mí para este propósito (snort o pcre) los pasos son más generales y cualquier usuario de Linux podrá montarse un IDS gracias a esta guía en su propia distribución de Linux, si bien se exigen unos conocimientos previos.

Creo que deberia comentar el cambio más drástico que incluye este documento respecto del anterior, se trata del uso de BASE en lugar de ACID. La decisión ha sido facil, por un lado ahora trabajo en seguridad informática, cosa que no hacía en el momento de escribir la primera guía y he podido ver que BASE es utilizado en mayor medida que ACID (esa es mi experiencia), por otro lado ya lo había conseguido usando ACID y la propuesta de hacer algo diferente también ha tenido su peso en la elección. A esto hay que sumar que BASE está basado en ACID y que la diferencia tampoco es tanta como para desconcertarse. Por si fuera poco ACID no se actualiza desde Agosto del 2003, con lo cual está todo dicho.

Pocas cosas me quedan ya por decir, que todas las acciones se realizan con privilegios de root y comentar que cuando hable de lineas el numero puede variar en vuestros archivos, pero es una orientación muy aproximada. Si encontráis alguna errata podéis notificarmelo a mi correo eletrónico (dmedianero@gmail.com), cualquier mejora u obsevación es bien recibida y espero que este documento os sea de provecho ya que hay muy poca documentación en castellano al respecto. Podéis descargarlo desde mi ftp:

ftp://meleagro.homeunix.org/articulos/snort+BASE.pdf

Un saludo

Compártelo