DDoS el asesino silencioso

Muchos diran «que titulo» no creo que un ddos sea un asesino silencioso, pues bien mirandolo desde el punto economico, un DDoS no solo es un asesino silencioso, es un asesino en potencia, los ataques DDoS han dejado muchas perdidas economicas en grandes empresas lo cual se dedican a negocios por internet, o simplemente se ven imposibilitados de enviar un correo o tan solo brindar un buen servicio a sus usuarios.

Pero que es un DDoS?

Pues bien, segun wikipedia un DDoS es una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

Pues bien un ataque DDoS no es nada mas que varias maquinas ya anteriormente infectadas, unidas bajo el mando de un  personaje, el cual las usa bajo X motivo, generalmente para fastidiar personas naturales o juridicas.

Hay alguna manera de solucionar este problema?

Pues si!!! hay algunas maneras de solucionar, unas mejores que otras, una de ellas es mantener actualizado nuestro sistema operativo.

En el siguiente post explicare como mitigar un ataque DDoS configurando tu firewall.

eh regresado!!!

Saludos una vez mas!!!! hace mucho tiempo deje de postear debido a varios factores(falta de tiempo, problemas personales, trabajo) en fin, eh regresado y para quedarme, hay muchas tecnicas nuevas que enseñar, hay muchos temas que hablar que muchos egoistas no quieren hablar!!! pues bien esta semana preparare un curso mas detallado de linux lo prometi a una amiga y aun no se lo doy :S

Tambien hablare como proteger tu propia red, que mejor que aprendiendo primero atacarla vulnerarla y explotarla, bien es dicho un buen detectiva debe pensar como ladron como asesino sino estara perdido!!!

No los canso mas.

Enjoy the silence

Firefox introduce una grave vulnerabilidad con sus últimos parches

El día 20 de julio Mozilla anunciaba la nueva versión 3.6.7 y 3.5.11 de su navegador, que corregía 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya está disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores.

La versión 3.6.8 de Firefox se ha tenido que lanzar con cierta urgencia (solo tres días después de publicar la versión 3.6.7) para corregir una vulnerabilidad que permite la ejecución de código arbitrario. La solución introducida en la versión 3.6.7 para corregir un problema de manejo de plugins, introducía un fallo que, bajo ciertas circunstancias, podría producir un desbordamiento de memoria intermedia. Esto podría permitir la ejecución de código arbitrario.

Para solucionarlo han publicado la versión 3.6.8 y el boletín MFSA2010-48 describiendo el fallo. La versión 3.6.7 ha sido por tanto bastante efímera, aunque no es la primera vez que ocurre con el navegador. La versión 3.6.4 apareció el 22 de junio, y desde entonces en menos de un mes se han publicado varias subversiones.

En la versión 3.6.4 los desarrolladores añadieron cierta protección contra los «cuelgues» de algunos plugins, para que no hicieran que todo el navegador dejase de responder. Para ello añadieron un «timeout»: si el plugin no respondía en ese tiempo, Firefox tomaba el control terminando la tarea. Así se evitaba que el cuelgue arrastrase a todo el navegador.

Sin embargo se dieron cuenta de que el «timeout» introducido era muy corto. Solo 10 segundos. Algunos plugins, como Flash, pueden no responder durante ese tiempo en algunas máquinas sin que signifique que el complemento haya dejado de responder necesariamente. En muy pocos días, se produjo una «travesía» hasta la versión 3.6.6 para corregir ese fallo, y aumentar el «timeout» hasta unos 45 segundos.

Vulnerabilidad en dispositivos Cisco Industrial Ethernet 3000 Series Switch

Cisco ha anunciado una vulnerabilidad en dispositivos Cisco Industrial Ethernet 3000 Series Switch (con versiones de IOS 12.2(52)SE o 12.2(52)SE1), que podría permitir a usuarios remotos el acceso a los dispositivos.
El problema reside en que el dispositivo hace uso de nombres de comunidad SNMP («public» y «private») conocidos codificados internamente tanto para lectura como para escritura. Si se borran los nombres de comunidad SNMP, estos volverán a aplicarse cuando se reinicie el dispositivo. Este problema podría permitir a un atacante remoto conseguir acceder al dispositivo y conseguir control total sobre su configuración.
Cisco ha desarrollado una actualización (12.2(55)SE), que está disponible en agosto.

Desbordamiento de búfer en VLC Media Player

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC 1.0.5 que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema reside en un desbordamiento de búfer en el tratamiento de URLs ftp:// con archivos M3U específicamente creadas. Esto puede ser explotado por atacantes remotos para lograr la ejecución de código y comprometer los sistemas afectados.
Se ve afectada la versión 1.0.5, la versión 1.1.0 no está afectada.

Vulnerabilidades en Cisco Content Services Switch

Una vez mas nuestra querida empresa Cisco ha anunciado la existencia de dos vulnerabilidades en los dispositivos Cisco Content Services Switches 11500, que pueden ser explotadas por un usuario malicioso para provocar una denegación de servicio o evitar restricciones de seguridad.
La vulnerabilidad de denegación de servicio (explotable remotamente) reside en el tratamiento de cabeceras HTTP con saltos de línea especialmente manipulados.
Otro problema permitiría saltar restricciones de seguridad mediante el uso de cabeceras HTTP especialmente manipuladas con el parámetro «ClientCert».
Hasta el momento no se ha publicado ninguna actualización para corregir estos problemas.
Para mitigar el riesgo de las cabeceras con «ClientCert» se recomienda el uso del siguiente comando: ssl-server http-header prefix »
»

Cisco CSS & ACE Certificate Spoofing and Header Manipulation
http://www.vsecurity.com/resources/advisory/20100702-1/

El divorcio entre el malware y la pornografía

A principios de esta década, se solía acusar a los usuarios que quedaban infectados por algún tipo de malware de navegar por páginas «de dudosa reputación». Esto incluía páginas pornográficas, cracks, warez, etc. Pero los tiempos han cambiado, y esta relación malware-pornografía ha pasado a ser un mito más que revisar. El peligro hoy, de hecho, está en cualquier página.

Dialers, codecs, vídeos camuflados como ejecutables… todo tipo de trucos eran válidos a principios de esta década para que los usuarios que buscaban sexo en la red quedaran infectados. Hoy se siguen usando, pero los métodos de infección preferidos por el malware de entonces eran sobre todo el correo (tanto en forma de adjuntos como explotando las numerosas vulnerabilidades en Outlook), el acceso directo a puertos (gusanos) y las páginas web «de dudosa reputación». Con estos métodos, cubrían sus necesidades de infección por aquel entonces.

Pero apareció en 2004 el Service Pack 2 de Windows XP, que activaba por defecto el cortafuegos y se popularizaron los routers, con lo que los gusanos vieron amenazada su popularidad. Por otro lado, Outlook y Windows mejoraron su seguridad, los administradores comenzaron a filtrar el correo con adjuntos sospechosos… ¿Qué les quedaba? Eludir todos estos mecanismos y colarse a través de otros métodos. Emergía la llamada web 2.0 y «la nube», que no es más que el traslado de todos los servicios desde el escritorio a la red; y por tanto el acceso a ellos a través del navegador… así que atacaron por esta vía.

Hoy, el malware se distribuye en gran medida a través del navegador. El retraso de Microsoft con Internet Explorer (cinco años entre su versión 6 y 7) facilitó el proceso: los atacantes querían aprovechar esas vulnerabilidades y ejecutar malware con solo visitar una web. Para ello, necesitan «crear» webs que infecten. Ya no eran suficientes las páginas pornográficas o de warez y se han lanzado a contaminar todo tipo de contenido.

Y esto es lo que confirman dos estudios recientes. International Secure System Lab investigó 269.000 sitios pornográficos a principios de junio. El 96% estaba limpio. Evidentemente, muchos usaban técnicas muy «agresivas» para redirigir al usuario a páginas de pago, evitar que abandonase la página, etc. pero apenas un 4% trataba de infectar directa o indirectamente al visitante.

Avast Software, por otro lado, acaba de publicar un informe cuya conclusión es clara: «por cada página de adultos infectada que hemos identificado, existen otras 99 con cualquier otro contenido que también están infectadas» e intentan ejecutar código en el visitante.

Ambos estudios concluyen que el peligro no está ya tanto en las páginas para adultos, sino en todas. No es que sea seguro visitar páginas con contenido sexual, es que hoy en día resulta tan inseguro visitar el periódico online como una página de contactos. Otro estudio de Websense apoya esta teoría: el 71% de las páginas infectadas con código malicioso son páginas legítimas comprometidas. Además, el 95% de los posts generados en blogs y similares son spam o redirigen a páginas que intentan infectar al visitante.

Las razones para este abandono de la pornografía como fuente de malware pueden ser varias. Aunque el sexo siempre resulta un poderoso reclamo en la Red, apostamos una vez más por una simple cuestión económica y de mercado. El rango de víctimas potenciales que se puede conseguir alojando malware en páginas de cualquier tipo (preferiblemente populares) será siempre superior al obtenido si se centran en páginas web para adultos. Por tanto, pensamos que los atacantes no realizan ningún tipo de distinción por contenido, y sí más bien por el esfuerzo necesario para contaminar esas webs legítimas. Y en ese caso, la pornografía es veterana en la Red, donde la competencia es dura y su negocio se basa en una web «sólida», sin fallos de seguridad (lo que significa más esfuerzo para ser infectada por un atacante), y que dé confianza a un potencial suscriptor (por lo que no hay motivo para infectar conscientemente y perder reputación). Por tanto, la inversión en seguridad y conocimiento del medio de la industria pornográfica puede ser incluso mayor que la de otras entidades que mantienen online apenas una réplica «secundaria» del mundo real, y su negocio no depende exclusivamente de Internet.

Denegación de servicio en MySQL

Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada por un atacante para provocar una denegación de servicio.

MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario que se desarrolla como software libre y cuenta con millones de implantaciones en todo el mundo.

El problema reside en el tratamiento de determinados comandos «ALTER DATABASE». Un atacante con permisos «ALTER» podría alterar el nombre del directorio usando caracteres especiales y provocar que el directorio de sistema se usase como directorio de la base de datos. Esto volvería todo el sistema inusable. Se ven afectadas las versiones de MySQL anteriores a la 5.1.48, a la 5.5.5 y a la 6.0.14. Se recomienda actualizar a MySQL versiones 5.1.48, 5.5.5 o 6.0.14, disponible para descarga desde: http://dev.mysql.com/downloads/

 

Más información: C.1.1. Changes in MySQL 5.1.48 (02 June 2010)

http://dev.mysql.com/doc/refman/5.1/en/news-5-1-48.html

serious flaws in the alter database .. upgrade data directory name command

http://bugs.mysql.com/bug.php?id=53804

Salto de restricciones a través de HTTP en Cisco ASA

Cisco ha confirmado la existencia de una vulnerabilidad en dispositivos Cisco ASA, que podría permitir a un atacante remoto ejecutar scripts arbitrarios mediante peticiones http:

El problema reside al procesar los parámetros de entrada del usuario en Cisco ASA. Un atacante remoto podría aprovechar este error para ejecutar scripts arbitrarios a través de una redirección provocada por una inyección del tipo http://x.x.x.x/Location%3a%20http%3a%2f%2fwww%2eurl%2ecom ‘

Cisco ha publicado la versión 8.1(2) del software destinada a corregir este problema, disponible desde: http://www.cisco.com/cisco/web/download/index.html

Más información: Cisco ASA 5580 Series Release Notes Version 8.1(2)http://www.cisco.com/en/US/docs/security/asa/asa81/release/notes/asarn812.html

Cisco ASA HTTP Response Splitting Vulnerability

http://www.secureworks.com/ctu/advisories/SWRX-2010-001

Acceso a información sensible en IBM WebSphere Application Server

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.x y 7.0), que podría permitir a un atacante la obtención de información sensible. IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris. El problema reside en el Web Container cuando maneja nombres de más de 20 caracteres. Un atacante podría aprovechar esto para provocar que el servidor devuelva un archivo erróneo y conseguir acceder a archivos arbitrarios.

Para IBM WebSphere Application Server 7.0.x se recomienda instalar el Fix Pack 7.0.0.11 o APAR PM06111 Para IBM WebSphere Application Server 6.1.x se recomienda instalar el Fix Pack 6.1.0.31 o APAR PM06111 Para IBM WebSphere Application Server 6.0.x se recomienda instalar el Fix Pack 6.0.2.43 o APAR PM06111 




Más información:




Recommended fixes for WebSphere Application Server

http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27004980




WebSphere Application Server Web Container information disclosure

was-webcontainer-info-disclosure (58557)

 http://xforce.iss.net/xforce/xfdb/58557