Avisos Tecnicos INTECO (España)

Fecha: 19/02/2012

Descripción: Cisco ha publicado un aviso de seguridad para solucionar una vulnerabilidad en su sistema operativo NX-OS que podría ser aprovechada para causar una denegación de servicio en determinados switches.

Detalle: 

Los switches que utilicen una versión NX-OS vulnerable podrían verse afectados por un DoS (denegación de servicio) cuando el IP stack procese un paquete malformado y obtenga la información capa 4 TCP o UDP del mismo (produciéndose el reinicio del dispositivo)

La vulnerabilidad, (CVE-2012-0352) reside, por tanto, en el stack IP del sistema operativo, por lo que cualquier característica que haga uso de los servicios que se ofrecen en el mismo para procesar paquetes IP, se vería afectada. De acuerdo al aviso de seguridad publicado por Cisco, los siguientes escenarios podrían lanzar la vulnerabilidad:

• Un paquete malformado, que en condiciones normales se transmitirá por el switch, es recibido y el tiempo de vida (TTL) del mismo es 1. En este caso, un mensaje de error ICMP (tiempo excedido), sería generado. Durante la generación de este mensaje ICMP, el bug podría ser activado.
• Si el enrutamiento basado en políticas (Policy-based routing) está en uso, y para tomar una decisión de enrutamiento, un paquete entrante debe ser analizado. Si el paquete es un segmento TCP malformado y la política de enrutamiento utiliza la información TCP para tomar decisiones de enrutamiento, el bug podría ser activado.
• Una lista de control de acceso de salida (egress Access Control List) es aplicada a una interfaz y un paquete IP malformado que necesita ser transmitido a través de dicha interfaz es recibido.

2012-02-19T10:42:00Z

Fecha: 18/02/2012

Descripción: Tras la reciente actualización de seguridad (a la versión 10.0.1) de algunos de los productos de Mozilla , la compañia ha lanzado una nueva versión (10.0.2) para solucionar algunos problemas de seguridad y estabilidad, esta vez, en el navegador Firefox.

Detalle: 

La actualización soluciona una vulnerabilidad clasificada como crítica así como ciertos problemas con applets en Java.

La vulnerabilidad (MFSA 2012-11) permitiría un desbordamiento de entero (integer overflow) en la biblioteca libpng que podría, a su vez, generar un desbordamiento de la memoria dinámica (heap buffer) al descomprimir ciertas imágenes PNG, lo que podría producir la caída de la aplicación o la ejecución de código.

2012-02-18T10:25:52Z

Fecha: 16/02/2012

Descripción: Resuelve 7 vulnerabilidades que pueden permitir, entre otros, la ejecución de código al visitar una página web maliciosa.

Detalle: 

La actualización, clasificada como crítica, podría provocar la caída de la aplicación (denial of service) y, potencialmente, permitir a un atacante tomar el control del sistema afectado mediante ejecución de código. Esta actualización también soluciona un problema de tipo cross-site scripting (secuencias de comandos en sitios cruzados) que podría ser utilizado para llevar a cabo acciones, de parte de un usuario o servidor de correo web al visitar un sitio web malicioso.

Existen reportes de que, actualmente, una de estas vulnerabilidades (CVE-2012-0767) está siendo explotada. La forma de llevar a cabo estos ataques es mediante el envío de un correo electrónico al usuario con un enlace malicioso, incitando a hacer clic sobre él.

• Caída de la aplicación.
• Ejecución de código malicioso y, por tanto, el control del ordenador por un atacante remoto.
• Recopilación de información confidencial.
• Realización de acciones en nombre del usuario, en portales web,f sin su conocimiento.

2012-02-16T10:29:47Z

Fecha: 16/02/2012

Descripción: Troyano que modifica la configuración DNS del equipo infectado para redirigir a páginas fraudulentas. A partir del 8 de marzo el FBI cerrará los servidores DNS maliciosos que utiliza el troyano por lo que los equipos que no hayan restaurado su configuración dejarán de tener acceso a Internet.

Detalle: 

Se trata de un troyano que modifica la configuración DNS para que los equipos afectados utilicen servidores DNS no legítimos y controlados por un atacante.

El servicio DNS es el encargado de traducir un nombre de dominio en una dirección IP, por lo que si esta traducción es manipulada, cuando el usuario introduce una página web en su navegador o accede a cualquier servicio a través de su nombre de dominio, en realidad puede acceder a cualquier página o servicio no legítimo sin su conocimiento ni consentimiento.

En un primer momento, DNS-Changer modifica la configuración DNS del equipo infectado para cambiar los servidores DNS legítimos por servidores DNS manipulados. A partir de ahí, intenta acceder al router al que está conectado el equipo utilizando las credenciales por defecto. Si consigue el acceso, cambia los servidores DNS utilizados por el mismo por los servidores DNS no legítimos. Con este último cambio, incluso equipos que no se encuentren infectados por el troyano pero que tengan su asignación de dirección IP de forma dinámica en la LAN a través del servicio DHCP proporcionado por el propio router comprometido, también tendrán manipulada la resolución DNS.

Actualmente el FBI controla todos los servidores DNS que fueron utilizados por este troyano. Dichos servidores van a ser deshabilitados el próximo día 8 de Marzo de 2012, por lo que a partir de dicha fecha, los equipos que continúen utilizando estos servidores DNS no podrán acceder correctamente a Internet. Esto hace que sea importante que los equipos infectados sean identificados y desinfectados correctamente antes de esta fecha.

2012-02-16T09:05:54Z

Fecha: 15/02/2012

Descripción: En esta actualización cuatrimestral se solucionan 14 vulnerabilidades explotables remotamente sin necesidad de autenticación.

Detalle: 

De las 14 vulnerabilidades que se resuelven en esta actualización las más graves, con un "Base Score" de 10.0 según Oracle, son las siguientes:

• CVE-2012-0497
• CVE-2012-0498
• CVE-2012-0499
• CVE-2012-0500
• CVE-2012-0508

Estas vulnerabilidades afectan tanto a desarrollos cliente como servidor, y pueden ser explotadas a través de aplicaciones Java Web Start y applets no confiables (aunque se ejecuten dentro de una sandbox).

• Ejecución remota de código.
• Caída de la aplicación.

2012-02-15T11:11:05Z

Fecha: 15/02/2012

Descripción: La actualización soluciona 9 vulnerabilidades críticas que podrían permitir la ejecución de código malicioso en el sistema comprometido.

Detalle: 

Adobe ha publicado la versión 11.6.4.634 del reproductor de vídeo Shockwave Player que soluciona 9 vulnerabilidades críticas que podrían permitir que un atacante ejecute código malicioso en el equipo afectado.

Las vulnerabilidades corregidas con la actualización son las siguientes: CVE-2012-0757, CVE-2012-0758, CVE-2012-0759, CVE-2012-0760, CVE-2012-0761, CVE-2012-0762, CVE-2012-0763, CVE-2012-0764, CVE-2012-0766.

Impacto

Ejecución de código malicioso en el sistema comprometido.

2012-02-15T10:55:05Z

Fecha: 15/02/2012

Descripción: Esta actualización consta de 9 boletines, 4 de ellos clasificados como críticos y el resto como importantes, que corrigen un total de 21 vulnerabilidades en Microsoft Windows, Internet Explorer, .NET Framework, Silverlight y otros productos de Microsoft Office.

Detalle: 

Los boletines del mes de enero son los siguientes:

• MS12-008 (crítico): Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código, si un usuario visita un sitio web que incluye contenido especialmente diseñado o si una aplicación, especialmente diseñada, se ejecuta localmente.
• MS12-010 (crítico): Actualización de seguridad acumulativa para Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código, si un usuario visita una página web especialmente diseñada
• MS12-013 (crítico): Vulnerabilidad en la biblioteca de tiempo de ejecución C podría permitir la ejecución remota de código si un usuario abre un archivo multimedia, especialmente diseñado, que esté hospedado en un sitio web o se haya enviado como datos adjuntos de correo electrónico
• MS12-016 (crítico): Vulnerabilidades en .NET Framework y Microsoft Silverlight podrían permitir la ejecución remota de código, si un usuario visita una página web especialmente diseñada, mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP) o aplicaciones Silverlight.
• MS12-009 (importante): Vulnerabilidades en el controlador de función auxiliar podrían permitir la elevación de privilegios.
• MS12-011 (importante): Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios.
• MS12-012 (importante): Una vulnerabilidad en el Panel de control de color podría permitir la ejecución remota de código.
• MS12-014 (importante): Una vulnerabilidad en el códec Indeo podría permitir la ejecución remota de código.
• MS12-015 (importante): Vulnerabilidades en Microsoft Visio Viewer 2010 podrían permitir la ejecución remota de código.

2012-02-15T09:27:22Z

Fecha: 13/02/2012

Descripción: Mozilla ha actualizado los productos Firefox, Thunderbird y SeaMonkey para solucionar una vulnerabilidad que podría ser explotable.

Detalle: 

Los desarrolladores de Mozilla, Andrew McCreight y Olli Pettay , encontraron una vulnerabilidad en nsXBLDocumentInfo::ReadPrototypeBindings de tipo "use after free" y, clasificada como crítica, que podría ser aprovechada para ejecutar código en la aplicación afectada.

2012-02-13T03:04:24Z

Fecha: 11/02/2012

Descripción: Se ha detectado un problema en algunos routers para ADSL cuando tienen habilitada la opción de administración web desde Internet (WAN)

Detalle: 

El problema aparece cuando se activa la opción de administración Web desde Internet, de forma que se puede acceder a la contraseña en forma de texto plano, de forma que con una consulta directa podría obtenerse la contraseña de administración (realmente la contraseña aparece al visualizar el código HTML de la página que visualizamos), con lo cual se podría modificar la configuración del router.

También se han detectado gusanos que buscan routers con esta vulnerabilidad para tratar de modificar la configuración de los mismos con el fin de unirlos a redes de equipos zombies o bien tratar de redirigir la navegación a las páginas que el atacante decida.

Aunque comienzan a circular listas de modelos de routers afectados, aún no hay una definitiva, por lo que desde INTECO-CERT se aconseja que en caso de que nuestro router tenga activada la administración Web desde Internet, se compruebe si somos vulnerables a esta vulnerabilidad, para ello:

• Se determina nuestra dirección IP pública, por ejemplo desde http://www.whatismyip.com.
• Se carga la página http://(ip_publica)/password.cgi
• Se muestra el código (HTML) de la página cargada

En caso de que en ese código HTML aparezca nuestra contraseña en texto plano, nuestro router es vulnerable.

2012-02-11T00:21:51Z

Fecha: 06/02/2012

Descripción: Actualización que resuelve la vulnerabilidad relacionada con la inserción de parámetros en tablas hash en los productos WebLogic Server, Application Server e iPlanet Web Server.

Detalle: 

Los parches de seguridad, pendientes desde la pasada actualización trimestral de enero, afectan a los servicios Oracle WebLogic Server, Application Server e iPlanet Web Server.

Solucionan la vulnerabilidad CVE-2011-5035, descubierta en diciembre del 2012, que afecta a un gran número de servicios web,  que se produce por el modo en que la aplicación web almacena en tablas hash los valores sumistrados por el usuario.

Esta vulnerabilidad puede ser explotada de forma remota sin necesidad de autenticación.

• Denegación de servicio.

2012-02-06T09:45:29Z

Fecha: 04/02/2012

Descripción: Solucionan 3 vulnerabilidades del nucleo de Joomla! que permiten la revelación de información confidencial.

Detalle: 

En esta nueva versión se solucionan tres vulnerabilidades que afectan al core de Joomla!. Las dos siguientes afectan a las versiones 2.5.0 y 1.7.0 - 1.7.4:

• [20120201] (baja): validación inadecuada puede provocar la revelación de información en el back end (/administrator).
• [20120203] (baja): validación inadecuada puede provocar revelación de rutas ("path disclosure") del back end (/administrator).

La siguiente afecta a las versiones 1.7.4 - 1.7.x:

• [20120202] (moderada): en algunos servidores el log de error puede ser leído por usuarios sin autorización.

• Revelación de información confidencial.

2012-02-04T10:17:20Z

Fecha: 04/02/2012

Descripción: Se encuentra en un parámetro de cadena de formato de texto en una llamada a la función fprintf que puede ser controlado por el atacante.

Detalle: 

La vulnerabilidad, la CVE 2012-0809, se encuentra en el código de depuración de sudo.

En la función sudo_debug(), el nombre del propio programa sudo es utilizado como parte del argumento de cadena de formato de texto que utiliza fprintf(). El problema se encuentra en que el nombre del programa puede ser controlado mediante un enlace simbólico o estableciendo argv[0], lo permite la aplicación de variadas técnicas de explotación de vulnerabilidades en las cadenas de formato de texto:

Para la explotación de esta vulnerabilidad el atacante no necesita estar listado en el archivo sudoers.

• Escalado de privilegios a root.
• Caída ("cuelgue") de sudo.

2012-02-04T10:17:17Z

Fecha: 03/02/2012

Descripción: VeriSign, una de las entidades certificadoras más importantes del mundo reconoce haber sido comprometida en 2010 y ser víctima de robo de información.

Detalle: 

De acuerdo al informe trimestral 10-Q del 2010, VeriSign reconoce la instrusión de sus sistemas así como el robo de información (véase apartado We experienced security breaches in the corporate network in 2010 which were not sufficiently reported to Management.).

Según el informe, el equipo de seguridad reaccionó rápidamente frente a la intrusión para implementar las medidas de seguridad oportunas que ayudasen a mitigar el mismo y frustrar ataques posteriores. Sin embargo, la compañía admite que dichas acciones no garantizan la prevención de futuros ataques así como la difusión de la información sustraida. Aunque la compañia no ha hecho declaraciones sobre el tipo de información robada ni la procedencia de los ataques, se cree que dicha información no está relacionada con los servicios DNS.

Por otro lado Symantec, responsable de la unidad de negocios de seguridad de Verisign desde 2010, aseguró a The Register que los servicios de seguridad SSL, User Authentication (VIP) y otros entornos de seguridad adquiridos por la compañia no fueron comprometidos por la brecha de seguridad mencionada en el informe trimestral de VeriSign.

2012-02-03T09:26:58Z

Fecha: 02/02/2012

Descripción: Apple ha publicado un conjunto de actualizaciones de seguridad para OS X Lion que solucionan gran cantidad de vulnerabilidades y que añaden nuevos cambios y mejoras destinadas a la optimización general del sistema.

Detalle: 

Soluciona los siguientes problemas de seguridad:

• Address Book: Un atacante en una posición privilegiada en la red puede interceptar los datos de CardDAV.
• Apache: Soluciona múltiples vulnerabilidades. La más grave podría permitir a un atacante descifrar paquetes protegidos por SSL.
• ATS: Una fuente maliciosa Font Book podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CFNetwork: Visitar un sitio web malicioso puede provocar la revelación de información confidencial.
• ColorSync: Visualizar una imagen maliciosa con un perfil ColorSync embebido podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreAudio: La reproducción de contenido de audio malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreMedia: La reproducción de un archivo multimedia malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreText: La visualización o descarga de un documento con una fuente maliciosa podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreUI: Visitar un sitio web malicioso puede provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• Curl: Un servidor remoto podría impersonar clientes mediante solicitudes GSSAPI.
• Data Security: Un atacante con una posicion privilegiada en la red podría interceptar credenciales u otra información confidencial.
• dovecot: Un atacante podría ser capaz de descifrar paquetes protegidos por SSL.
• filecmds: Descomprimir un fichero malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• ImageIO: La visualización de un fichero TIFF malicioso podría dar lugar a la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• Internet Sharing: Una red Wi-Fi creada por Internet Sharing puede perder la configuración de seguridad despues de una actualización del sistema.
• Libinfo: Visitar un sitio web malicioso puede provocar la revelación de información confidencial.
• libresolv: Aplicaciones que usan la librería libresolv OS X podrían ser vulnerables a una terminación inesperada de la aplicación o a la ejecución de código arbitrario.
• libsecurity: Algunas certificados EV pueden aparecer como confiables incluso si el correspondiente certificado raiz los ha marcado como no confiables
• OpenGL: Aplicaciones que usan la implementación OpenGL OS X podrían ser vulnerables a una terminación inesperada o a la ejecución de código arbitrario.
• PHP: Soluciona múltiples vulnerabilidades, entre ellas, visualizar un fichero PDF malicioso podría provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• QuickTime: La visualización de un fichero MP4, una imagen JPEG2000 o una imagen PNG maliciosa podría dar lugar a la terminación inesperada de la aplicación o a la ejecución de código arbitrario.
• SquirrelMail: Soluciona múltiples vulnerabilidades.
• Subversion: Acceder a un repositorio Subversion puede provocar la revelación de información confidencial.
• Time Machine: Un atacante remoto podría acceder a nuevas copias de seguridad.
• Tomcat: Soluciona múltiples vulnerabilidades en Tomcat 6.0.32.
• WebDAV Sharing: Usuarios locales podrían escalar privilegios.
• Webmail: La visualización de un mensaje de correo malicioso puede provocar la divulgación del contenido del mensaje.
• X11: La visualización de un fichero PDF malicioso puede provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.

2012-02-02T10:05:12Z