Daboweb | Seguridad y ayuda informática |

Hace unos días os informamos sobre la herramienta que Parallels a puesto a disposición de los usuarios para comprobar si sus paneles de administración web son vulnerables a varios bugs localizados hasta la fecha.

Hoy nos hacemos eco del aviso de seguridad que han hecho llegar a través de su lista de correo con el siguiente contenido para paneles Plesk 10.4.4 y anteriores (fuente y más información):

Parallels ha publicado un nuevo conjunto de microactualizaciones críticas para determinadas versiones de Parallels Plesk Panel 10.4 o versiones anteriores para así proporcionar correcciones funcionales y mejorar la estabilidad y seguridad – incluyendo componentes de terceros. La finalidad de esta notificación es animar a todos los clientes a aplicar estas microactualizaciones a la mayor brevedad posible.

Las versiones afectadas van desde la 8.2 hasta la 10.4 y es más que necesaria su inmediata actualización.

Como todos los meses, os recordamos que ya se ha publicado por parte de Microsoft las actualizaciones o boletines de seguridad habituales, en este caso, para Julio de 2012.

En esta ocasión, se compone de 9 boletines que solventan 16 vulnerabilidades; 3 catalogadas como críticas, (más información en INTECO) afectando principalmente  a XML Core Services, Internet Explorer y Data Access Components .

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Debido al impacto sobre el sistema, os recomendamos actualizar los sistemas a la mayor brevedad posible. (Afecta a Windows 7, Vista, XP, 2003 y 2008 Server, MS Office, etc).

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones de Julio de 2012.

Desde hace unos meses, estamos viendo como los ataques, bien por vulnerabilidades «0 Day» o ya publicadas, hacia servidores web con paneles de administración Plesk van en aumento..

Una forma sencilla de saber si tu panel es sensible a los últimos bugs que le afectan (ENG, sirva como ejemplo y algunos solventados de forma poco transparente en forma de «microupdates») es instalando y ejecutando este sencillo script en PHP que ha realizado Parallels (ENG).

Como recomendación, caso que el resultado revele que está pendiente de actualizar, además de aplicar el parche lo antes posible, frente a posibles intrusiones en días anteriores, es conveniente cambiar todos los passwords de acceso al propio Plesk, cuentas FTP, MySQL, etc.

Se encuentra disponible para su descarga la nueva versión de Wireshark 1.8.0. que soluciona diversas vulnerabilidades de versiones anteriores.

Como la mayoría sabréis, Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Para descargar Wireshark:

• Windows: http://www.wireshark.org/download.html
• Linux: Algunas distribuciones ya contienen Wireshark, de cualquier forma: apt-get install wireshark

Más información sobre su descarga, instalación y empleo básico del programa en nuestros temas:

• Herramientas para la interpretación de las capturas de red 6/10.

• Captura con Wireshark de ficheros SMB.

• Herramientas para la interpretación de las capturas de red 8/10.

En medio de la «resaca mediática» generada por la keynote de ayer en la que Apple presentó sus novedades en cuanto a hardware y software, desde la lista de correo «Apple Security» nos llega un aviso de actualización de seguridad para iTunes que en su versión 10.6.3, solventa dos vulnerabilidades (Mac OS X, Windows XP, Vista y 7).

Concretamente, se trata de la posibilidad sufrir un desbordamiento del búfer en listas de reproducción .m3u debidamente manipuladas para tal fin y un error de corrupción de memoria en Webkit. Se recomienda actualizar bien desde el menú «actualización de software» en Mac OS, o desde el sitio web de iTunes.

Nueva actualización de PHP, concretamente para las versiones 5.3 y 5.4, en las que se encontraron dos vulnerabilidades, las cuales pueden ser aprovechadas por un posible atacante para usar una inyeccion SQL y saltarse unas determinadas restricciones de seguridad.

En la versión 5.3 el fallo consiste un cambio temporal de la directiva «magic_quotes_gpc» y en ambas (la 5.4 y la 5.3), un script PHP que aceptase múltiples subidas de archivos en una misma petición podría provocar el acceso a directorios de acceso restringido, mediante nombres de archivos creados para tal efecto. Como ya hemos dicho, ambas vulnerabilidades son explotables mediante inyección SQL, con lo que se recomienda su actualización imediata.

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en «Apache Traffic Server» (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

El parche de seguridad MS12-020 liberado en las actualizaciones de Microsoft de la pasada semana, soluciona un grave fallo en el manejo del protocolo RDP, que puede (y será) aprovechada por muchos ciberdelincuentes para acceder a máquinas sin actualizar y obtener jugosa información de ellas.

Como ya hemos comentado en otras ocasiones, volvemos a incidir una vez más en la importancia que representa mantener actualizados tanto el sistema operativo, como todo el software o programas que utilizamos en nuestro equipo.

Las actualizaciones en la mayoría de ocasiones solucionan vulnerabilidades, problemas de seguridad o de funcionamiento del sistema, por lo que siempre debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.

Leer más en Seguridad básica sobre el tema  Mantener el Sistema operativo y el Software actualizados.

Se encuentra disponible una prueba de concepto para la vulnerabilidad en RDP, publicado por Josep Albors en Eset laboratorio.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Febrero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Febrero 2012;

• 29: En Intypedia. Nuevo vídeo, lección 13. Seguridad en DNS
• 26: Aprende esperanto en GNU/Linux
• 25: El futuro de SMF
• 24: HijackThis es Open Source
• 19: Ubuntu Lucid Lynx 10.04.4
• 18: [Breves] Mozilla Firefox 10.0.2 solventa vulnerabilidad crítica
• 15: Actualizaciones de Microsoft Febrero de 2012
• 15: [Breves] Actualización crítica de seguridad para Firefox 10.0.1 Thunderbird 10.0.1 y SeaMonkey 2.7.1
• 12: Comprueba si el password de tu Router ADSL es visible vía web
• 07: Canonical “se deshace” de Kubuntu
• 07: Liberado Kernel Linux 3.2.5
• 03: Joomla! 2.5.1 y 1.7.5, actualizaciones de seguridad
• 02: Publicado en Daboweb, Enero de 2012
• 02: Drupal 7.11, 7.12, 6.23 y 6.24 actualización de seguridad

Pocos días después del lanzamiento de la versión 10.0.1, según leemos en INTECO -CERT, Mozilla ha liberado la versión 10.0.2 de su navegador Firefox. Dicha release, solventa una vulnerabilidad catalogada como crítica (MFSA 2012-11. Un «integrer overflow en libpng), así como otros problemas con «applets» de Java. Podéis actualizar directamente desde el propio navegador.

Se están reportando por la red desde diferentes medios, la posibilidad de que algunos Routers ADSL (sobre todo de Telefónica) podrían estar afectados por una vulnerabilidad que revela en texto plano la contraseña de administración del dispositivo, con las consecuencias que este hecho podría tener.

De hecho, ya se sabe de routers que están siendo usados como «pasarela» para realizar todo tipo de ataques hacia otros sistemas, siendo en ese caso sin saberlo, parte de una «botnet» o red troyanizada y controlada por terceros.

El problema viene dado por la opción de administración remota vía web (WAN) del Router. Tal y como informan desde INTECO, el método para saber si efectivamente tu Router es vulnerable, es navegando a cualquier servicio que te muestre la IP pública de tu sistema (por ejemplo desde What is my IP) y una vez hecho, hay que teclear en el navegador web: http://tu-ip-pública/password.cgi

Caso de que se vea tu contraseña, obviamente el Router es vulnerable y hasta que no haya alguna alguna actualización de firmware por parte del fabricante u otra solución, hay que desactivar en el dispositivo esa opción.

* Nota del redactor; En el momento de escribir estas líneas, mi Router, un Comtrend MULTI-DSL CPE de Jazztel no es vulnerable.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

A través de Hispasec nos enteramos de la detección de un fallo de seguridad que afecta a varias distribuciones linuxeras que hacen uso del comando sudo para ejecutar aplicaciones o tareas de mantenimiento como otro usuario o como administrador del sistema. Concretamente la vulnerabilidad radica en un error de formato de cadena en la función «sudo_debug de sudo.c» cuando procesa el nombre del programa que se le pasa por parámetro.

Un usuario malintencionado podría realizar un enlace a nivel de sistema de ficheros del binario del comando sudo hacia un archivo, con un nombre manipulado y que contuviera caracteres especiales de cadena. Cuando ejecutase ese nuevo enlace lo haría con privilegios de root. Este problema no solo afecta a GNU/Linux, sigo que sistemas operativos también basados en UNIX, como BSD o Mac también se han visto afectados. Se ha publicado un parche que lo soluciona.

Según podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como «leve», puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

•  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
•  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec