domingo, 7 de febrero de 2010

Cuestiones de seguridad informàtica empezando el año

Leyendo en distintas webs relacionadas con la seguridad informatica me he enterado de un monton de vulnerabilidades que llevan años sin ser parchadas, y es que al parecer muchos investigadores se han cansado de las politicas de 'responsible disclosure', y aunque muchos de ellos se ponen en contacto con los fabricantes de software, a veces pasa mas de el mes de previo aviso para que los fallos hallados sean reparados por parte de las empresas de software; es por ello que sea normal ver que en distintos blogs y webs de reconocidos investigadores en seguridad, se encuentre uno con articulos del tipo 'full disclosure', pero sin el previo aviso a los fabricantes de las aplicaciones en cuestion, y lo peor: incluso a veces hay empresas que les cancelan sus cuentas y todo (caso: Paypal Vs Moxie). A que viene todo este rollo?, pues que desde enero el señor ruso Eugeny Legerov de los laboratorios de investigacion Intevydis ha dicho que se comenzaran a lanzar diariamente vulnerabilidades que segun ellos llevan años explotandose ocultamente por medio de programas privativos de analisis a websites y a aplicaciones web tambien, aludiendo que la mayoria de empresas de seguridad trabajan gratuitamente para los desarrolladores de software al darles a ellos todo puesto, y en la mayoria de las veces no recibir ni un centavo a cambio. Segun las palabras del mismo Legerov en Krebs On Security:

'After working with the vendors long enough, we’ve come to conclusion that, to put it simply, it is a waste of time. Now, we do not contact with vendors and do not support so-called ‘responsible disclosure’ policy,” ...“there will be published two years old Realplayer vulnerability...

Después de haber descubierto muchos fallos y de estar en acuerdos con los fabricantes, nos hemos dado de cuenta de que ha sido una pérdida de tiempo. Desde ahora no volveremos a contar con ellos, y menos respetar la política de revelación responsable”... “Seran publicadas vulneravilidades que afectan a RealPlayer desde hace mas de dos años”...

Y sin mas que decir se empezaron a lanzar vulnerabilidades en el blog de la Empresa Rusa:

+ Oracle TimesTen 7.0.5 timestend DoS
+ IBM DB2 9.7 kuddb2 DoS
+ Ingres 9.3 heap overflow
+ IBM DB2 9.7 heap overflow
+ PostgreSQL 8.0.23 bitsubstr overflow
+ MySQL yassl stack overflow
+ Oracle Weblogic 10.3.2 Node Manager fun
+ Sun Java System Web Server 7.0 WEBDAV format strin...
+ Sun Java System Web Server 7.0 admin server DoS
+ Sun Java System Web Server 7.0u7 digest auth heap ...
+ Sun Java System Web Server 7.0u7 WEBDAV stack over...
+ Sun Java System Web Server 7.0u7 TRACE overflow
+ Zeus Web Server SSL2_CLIENT_HELLO overflow
+ Oracle Internet Directory heap corruption
+ fixed Oracle Internet Directory overflow
+ Oracle Internet Directory DoS
+ Novell eDirectory 8.7.3 overflow
+ Lotus Domino 7 (probably 8) LDAP heap overflow
+ Tivoli Directory Server 6.2 do_extendedOp DoS
+ Sun Directory Server 7.0 core_get_proxyauth_dn DoS...

Aqui hay mucha tela de donde coger para los que nos atañe todo este cuento de la seguridad informatica, sin embargo una de las vulnerabilidades que me ha causado mas impresion ha sido la que afecta al Oracle Weblogic Node Manager y podría ser aprovechada por un atacante, quien podría lanzar ataques remotos a través de una red sin la necesidad de usar el nombre de usuario y la debida contraseña, cabe resaltar que muchas organizaciones despues del descubrimiento usaron políticas en el firewall las cuales impiden la conexión al puerto del Administrador (5556) del Nodo Oracle WebLogic Manager por usuarios externos, lo que impide la explotación de la vulnerabilidad de usuarios externos desde internet. Ya Oracle ha avisado sobre el lanzamiento del parche, el exploit lo encontramos en el blog de la empresa rusa.

A este paso muchos que tienen sus cosillas saldran del closet!, este año se ve que trae muchas cosas en cuanto a seguridad se refiere, estare al pendiente a ver que sale!.

PD. Se me olvidaba desearles un feliz año para todos los que se pasan por aca!

0 comentarios:

 
Plantilla hecha por Dante Araujo