m313 Security Blog

Es increible, la degeneración desde el software libre al imperialismo personalista de los que creen ya no que las herramientas son de su propiedad, sino que utilizan el conocimiento de los demás para ponerse medallas que no merecen.
Estoy hablando del BUG de BASE que llevo mareando desde hace dos meses. Ese bug que YO, DANIEL MEDIANERO GARCÍA, meleagro, m313 descubrí, ese bug que no reporté publiamente hasta ver que no lo tomaban en serio, y que a raiz de su publicación ha sido corregido recientemente en la nueva release de BASE 1.3.9 (anne).

Claro que si entras en el CHANGELOG de BASE no verás mención alguna hacia mi persona en relación con el bug de seguridad por Cross Site Scripting, aunque en BUGTRACK pueda verse claramente que la persona que descubrió el bug es la persona que hizo el documento sobre BASE+Snort en Slackware( osea yo mismo), y esto esté admitido en el CVS del documento en cuestión e incluso en el propio CHANGELOG de BASE:

Puede pensarse que esto es una cuestión de ego. En efecto, lo es.
Pero también tengo que decir que no puede arrebatarseme lo que es mio, agradezco a Kevin Johnson( lider del proyecto BASE, en adelante KJ ) su trabajo en la aplicación pero no puedo pasar por alto este grave fallo y así se lo he hecho saber por correo electrónico.

Desde que descubrí el fallo he estado a su completa disposición, y he aportado documentación para resolverlo a la mayor brevedad posible.
Pero es muy facil adjudicarse el trabajo ajeno y aparecer en la foto.

Hoy veo que el FSIRT(French Security Incident Response Team) se hace eco de esta vulnerabilidad y la ha publicado, por supuesto y dado que desde el proyecto BASE se ningunea mi trabajo podemos ver que en los creditos del bug no hay mención alguna hacia mi persona:

Se lo he hecho saber al FSIRT y también a KJ. Del FSIRT aún no he recibido respuesta y del intercambio de correos con KJ solo veo por su parte lo doloroso que le es dedicar su tiempo libre a un proyecto OpenSource, bla bla bla.
Si KJ, sé lo que es dedicar tiempo a actividades que no repercutirán directamente sobre tu bolsillo. Dedico bastante tiempo a participar en la comunidad Slackware, a proveerla de documentación, paquetes, intervengo en foros, canales de IRC, He participado en la creación de proyectos como Open-Eslack, comunidad de la que sigo formando parte e incluso creo mis propios proyectos como XSSnortRules o “Embajadores Slackware”, que estoy madurando antes de darle el escopetazo definitivo.
Además de todo eso KJ, también le dedico mi tiempo a buscar fallos de seguridad en aplicaciones de mi interés, tal es el caso de BASE.

Pero no te preocupes KJ, lo bueno de las licencias OpenSource es que aunque te adjudiques mi trabajo, el código es libre y por tanto puede crearse un fork de BASE facilmente.

Así son las cosas y así se las hemos contado.

Compártelo

Nuevamente hablo de mi libro, y aún a riesgo de ser pesado( que lo soy ) vuelvo a contar la misma película pero con diferentes protagonistas. Un interesante remake.

En esta ocasión el escenario no cambia: internet, repite parte del reparto con m313( yo mismo ) y mi libro( la guia de Snort ) y hay nuevos actores en escena: Sourcefire, o lo que es lo mismo: la empresa propietaria de Snort.
La trama es la ya conocida, han publicado mi guia en la web oficial !!!!

Seguimos en la cresta de la ola

Compártelo

No es un secreto que las vulnerabilidades XSS(Cross Site Scripting) abundan en la red, como tampoco lo es que los programadores no otorgan a estas vulnerabilidades la relevancia que merecen.
A menudo evidencio un XSS con un simple script que muestra una ventana con la cookie del usuario, un simple script con un alert y un document.cookie en su interior.

Sin embargo el alcance de estas vulnerabilidades va mucho más allá de esta simple inyección. Las posibilidades son infinitas cuando hablamos de ejecución de código remoto, con una importancia mayor aún si cabe cuando tratamos XSS permanentes. Pruebas de esta importancia son los tuneles XSS, pruebas de concepto como la del ya famoso Jikto( cuyo código disponemos ya todos ), o herramientas de secuestro del navegador cada dia más maduras, como el ejemplo de BeEF.

Este post viene al caso no solo para quejarme publicamente sobre el desprecio generalizado antes estas fallas, sino a la decepción que me he llevado recientemente al descubrir y reportar una de ellas.
Se trata del ya famoso BASE, la interfaz escrita en php para administrar alertas del detector de intrusos Snort.
El dia 24 de Septiembre del mes pasado(hace ya 10 días) descubrí un XSS en BASE, lo evidencié en forma de imagenes:

que remití a los desarrolladores. Mi correo fue contestado muy rapidamente por Kevin Johnson, el lider del proyecto, agradeciendome el reporte, pidiendome información concreta sobre la vulnerabilidad y comentandome que intentarían arreglarlo ese mismo dia.

Tras 10 días no solo sigue aún sin resolver, sino que el bug que abrí en Bugtrack tiene una prioridad media y no ha sido asignado a nadie. Por otro lado en el CVS del fichero afectado en cuestión no hay ninguna entrada que haga referencia alguna a esta vulnerabilidad.

Como curiosidad dejo un pantallazo de la inserción de un enlace, apuntando hacia un supuesto código maligno:

Estaré pendiente de la resolución.

Compártelo

Previo pago de 0 €, los chicos de BASE han publicado recientemente mi Guia de Snort, Apache, Mysql, PHP y BASE sobre Slackware. De momento y como se muestra en la foto solo está incluida en el CVS pero me han dicho que con casi toda probabilidad estará incluida en la próxima release del proyecto:

He ofrecido el manual a los chicos de Snort para la documentación internacional que incluyen en su web, aunque por el momento no he obtenido contestación por su parte.

Estas cosas que no dan dinero y muchas veces más disgustos que alegrías, pero que en un día como hoy elevan mi ego hasta límites insospechados.

Compártelo

Hacia ya algún tiempo que el Snort no tiraba alertas importantes en mi servidor. Esta vez se trata de un ruso, que en la madrugada del dia 19 ha estado intentando hackearme a través de la inyección de código en php. Estas son las alertas que han casacado:

WEB-PHP xmlrpc.php post attempt
WEB-PHP remote include path

El “hacker” en cuestión usan un SO CentOS. Un rapido escaneo de puertos muestra que se trata de un sistema interesante:

21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
631/tcp open ipp
2000/tcp open callbook

Parece que la maquina en cuestión tiene ftp, ssh, cups y servicios VoIP, además de http y servicios de portmapper, en fin un sistema interesante para ensayar test de penetración

PD: La IP 212.107.194.186 es rusa segun la autoridad Centralops:

inetnum: 212.107.194.176 – 212.107.194.191
netname: SEST-1-VSTN-NET
descr: Self Employed Starinets
descr: Vladivostok, Russia
country: RU
admin-c: DS1083-RIPE
tech-c: DS1083-RIPE
status: ASSIGNED PA
notify: dima@vstn.marine.su
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030617
source: RIPE

person: Dmitry Simonchik
address: 36, pr. Komarova str.
address: Vladivostok, 690950
address: Russia
phone: +7 423 242 0576
fax-no: +7 423 240 6029
e-mail: sdv@prim.dsv.ru
nic-hdl: DS1083-RIPE
notify: sdv@prim.dsv.ru
changed: gav@prim.dsv.ru 20040213
mnt-by: PRIMORYE-NCC-MNT
source: RIPE

route: 212.107.192.0/20
descr: VSTN-001
origin: AS12332
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030529
source: RIPE

Evidentemente que la Ip puede ser spoofeada, pero hay conexión de ida y retorno, con lo cual esta posibilidad queda bastante descartada. Evidentemente puede tratarse de un sistema pasarela, sistema muy interesante por cierto, si bien según mis conocimientos no pertenece a ninguna red tipo Tor.

Aviso a navegantes:

Si no te gusta lo que lees lo tienes facil, no lo leas, si eres muy listo hazte profesor, pero si eres un ignorante entonces dedicate a descalificar.

Por higiene borro todos los comentarios producto de la incontinencia verbal, así como las boludeces y el spam variado…

Compártelo