Archivos de Categoría: Bugs

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit “ChimayRed” que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este “ataque de la CIA” fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

0-day para FreePBX

A inicios del mes se descubrió una vulnerabilidad en el FreePBX, uno de los entornos web de programación de una centralita Asterisk, y que ha sido catalogado como 0-day.

Una vulnerabilidad 0-day indica que es super critica, que tiene que ser algo resuelto ahora, que se deben tomar medidas de seguridad urgente porque estamos susceptible a ataques.

Con este bug es posible tomar control administrador sin tener que autenticarnos y luego se podrá tener acceso total a la central telefónica y la posible ejecución de comandos.

La vulnerabilidad es para todas las versiones de FreePBX y como medida de contingencia hay que bloquear el acceso web a terceros de nuestra red.

Estuve leyendo un foro sobre el tema y comentan que hay detectado robots que van escaneando las redes en Internet para encontrar centrales IP vulnerable para luego atacarlas.

Como medida simple de protección es solo necesario bloquear el acceso web de la central y solo dejar los de la VoIP únicamente abierto.

  • Para esto hay que bloquear el TCP 80 para redes externas de nuestra red interna
  • Abrir unicamente y si es necesario los puertos SIP/5060 y RTP/10000-20000

Recuerden que es 0-day y si tienes una centralita asterisk de cara a internet puedes ser atacado!

Mas información sobre la vulnerabilidad en el sitio de FreePBX

Bug en DUDE: Todos los servicios OK, pero sigue como ca�do.

Hace un par de días se confirmo que el DUDE, la herramienta de monitoreo de MikroTik, contiene un bug que muestra en la pantalla un equipo caído (color naranja), pero cuando le hacemos un probe (consulta) todos los servicios muestran “ok”.

Este es un error confirmado en el SMNP y que se espera sea solucionado pronto, la forma de arreglar este inconveniente temporariamente es “Seleccionar el dispositivo“, eliminarlo y luego hacer click en “undo” para que vuelta a estar en funcionamiento.

Espero que le sea de ayuda para cuando suceda…

Vía: MikroTik

 

Ubiquiti Airmax v5.0.2

Una nueva actualización del firmware que corre en los productos de Ubiquiti se ha publicado. Es la versión v.5.0.2 y corrige el problema que tenia con loe Ethernet en los dispositivos Series M como son:

  * Bullet M2
  * Bullet M5
  * Rocket M2
  * Rocket M5
  * NanoStation M2
  * NanoStation M5

El changelog es el siguiente:

Version 5.0.2 - SERVICE release (October 23, 2009)
------------------------------------------------
- Fixed Chain 1 association problem in 802.11a mode
- Fixed Compliance test channels in 5 MHz step instead of 20 MHz
- Added VLAN support in Ethernet driver

Se puede descargar desde el sitio de Ubiquiti.

WPA/TKIP crackeado en 15 minutos.

Hasta hace poco se venían actualizando las encriptaciones WEP hacia WPA ó WPA2, ya que la primera es muy vulnerable. Pues unos científicos japoneses han logrado crackear la WPA con TKIP en 1 minutos en el mejor de los casos y en el peor en 15 minutos.

Hay un PDF disponible para descargar en donde está la información de como se realiza el ataque y sus fundamentos. Se puede leer una reseña en español en el Theinquirer.

Tendremos que ir pensado en usar WPA o WPA2 con AES para estar un poco mas protegidos.

Via: barrapunto:

Gran Bug en Mikrotik v.3.25

He terminado de escribir una noticia en MKE Solutions que a muchos le va a interesar y es que un bug que se encontró en la v.3.25 de RouterOS hace que se pierdan las configuraciones y también algunos paquetes adicionales al system.

El problema ha hecho que se elimine de la lista de versiones estables a bajar en el sitio de MikroTik, y se espera que pronto se solucione.

Mas información en MKE Solutions