m313 Security Blog

Recientemente se ha dado a conocer esta vulnerabilidad que permite la ejecución remota de código sin necesidad de tener credenciales. La vulnerabilidad es grave, muy grave, crítica. No obstante me agrada poder decir que no se ha anunciado como una nueva vulnerabilidad que rompe internet.

Lo interesante no es hablar y hablar sobre este fallo, sino hacerse con los recursos técnicos suficientes para entenderla, auditarla y en su caso explotarla. No es dificil pero es tedioso, ya que la sobredósis de información hace pesado el acto de separar la paja del grano, espero que os guste mi separación.

Información.

Para entender la vulnerabilidad en sí misma, las causas de la misma y los detalles técnicos el mejor documento que he encontrado es un papper de Sourcefire, empresa del conocido NIDS Snort.

Auditoría.

Para saber si una máquina es vulnerable tenemos por un lado un script realizado por Portcullis Lab, escrito en Python. Por otro lado Nessus ha sacado dos plugins al respecto: 34477 y 34476.

Detección.

Snort ha sacado recientemente una actualización de las reglas VRT que incorpora reglas de detección de esta vulnerabilidad.

Explotación.

Para explotar esta vulnerabildad ha sido publicado un exploit para el framework Metasploit. Tengo que decir que tal como lo descargas este exploit no funciona, pero a poco que investiguéis os daréis cuenta de que le faltan un par de cosillas. Es una medida habitual contra los script kiddies. Yo he realizado las modificaciones y puedo decir que funciona perfectamente.

Por otro lado en Milw0rm han publicado un exploit alternativo, no lo he probado, pero dada la reputación del sitio creo necesario nombrarlo.

Si conocéis alguna mejor ya sabéis, tengo activados los comentarios.

Compártelo

Constatar simplemente que el bug de BASE que descubrí en septiembre ha sido insertado en las bases de datos de vulnerabilidades más importantes:

* FrSIRT Advisory: ADV-2007-4021
* Bugtraq ID: 26596
* OSVDB ID: 38792
* Secunia Advisory ID: 27834
* CVE ID: 2007-6156 (ver también: NVD)

Esto además de alimentar mi ego me incentiva para seguir buscando errores en aplicaciones web de código abierto.

Compártelo

Me encuentro esta mañana en la lista de correo de Snort con esta aplicación gratuita( que no GPL ) para visualizar las alertas de la base de datos de snort en tiempo real.
Está desarrollada en php utilizando tecnología Ajax y consiste basicamente en un php del que apenas hay que configurar la BBDD:

// Snort Database Settings

$dbhost = “”;
$dbuser = “”;
$dbpass = “”;
$dbname = “”;

// liveSnort Settings

$maxRows = 15;
$pollTime = 5;

En realidad solo sirve para cuando estés continuamente pegado a la pantalla para ver los ultimos eventos, ya que no guarda información de ningún tipo, pero es muy util sobre todo para realizar pruebas cuando estamos creando reglas, ver si saltan, etc.
Aqui podemos ver una captura de pantalla:

El proyecto está desarrollado por Aanval, empresa conocida por sus productos comerciales sobre correlación de eventos de Snort y de Syslog.
Podéis acceder a la web del proyecto haciendo click aqui.

Compártelo

En menos de un día los competentes trabajadores del FSIRT han modificado el aviso de seguridad FrSIRT/ADV-2007-4021 para incluir mi nombre en los creditos de la vulnerabilidad:

Sigo esperando una rectificación por parte de KJ.

Compártelo

Autor: Daniel Medianero García ( dmedianero @ gmail.com )
Fabricante: BASE – http://base.secureideas.net/
Impacto: Cross Site Scripting
URL: http://www.meleagro.es.kz

Aplicaciones afectadas:
———————–
- Basic Analysis and Security Engine

Versiones afectadas:
——————–
- BASE 1.3.8(jodie)

Sistemas operativos afectados:
——————————
- Multiplataforma(Aplicación web escrita en php)

Versiones no afectadas:
———————–
- Iguales o superiores a BASE 1.3.9(anne)

Descripción del producto:
————————–
BASE(http://sourceforge.net/projects/secureideas/) es una interfaz
web de administración de alertas del detector de intrusos Snort.Está escrita
en php y soporta varias BBDD, entre ellas MySQL, Postgree, etc.
Es el producto más utilizado para ver/clasificar las alertas de Snort.
Su origen es el ya historia ACID( Analisys Control Intrusion Detection ).

Descripción de la vulnerabilidad:
———————————
La vulnerabilidad se debe a la mala validación de los parametros de
entrada en el fichero base_qry_main.php. Concretamente los parámetros
sig%5B0%5D y sig%5B1%5D.

Detalles técnicos:
——————
La explotación de estas vulnerabilidades es posible haciendo
tampering de los parametros mencionados y cambiando su valor por algún vector
de ataque XSS como el siguiente:

‘;!–” <script> alert (document.cookie); </script>

Soluciones:
———-
- Actualice el software a la última versión disponible por el fabricante (actualmente v1.3.9)

Histórico:
—————-

24/09/2007 - Vulnerabilidad descubiertas
– Primera notificación a Secureideas
– Secureideas solicita información más extensa
– Proporciono dicha información y abro el bug en Bugtrack #1801192
13/10/2007 - Secureideas asigna al bug una prioridad alta(9)
20/11/2007 - Secureideas informa de que el bug ha sido arreglado.
- Se publica la versión 1.3.9(anne)
28/11/2007 - El bug es publicado por el FSIRT(FrSIRT/ADV-2007-4021)

Descargar advisory (Spanish):SIAADV-07-005-ES.txt

Descargar advisory (English):SIAADV-07-005-EN.txt

Compártelo