F5 FirePass command execution vulnerability

F5's FirePass SSL VPN appliance provides secure access to corporate applications and data using a standard web browser.

Delivering outstanding performance, scalability, ease-of-use, and end-point security, FirePass helps increase the productivity of those working from home or on the road while keeping corporate data secure.

S21sec has discovered a vulnerability in a F5 FirePass SSL VPN script that allows the injection of Linux's shell commands under some circunstances.

The attacker doesn`t need to be logged in the system in order to trigger the exploit.

Workaround
F5 has published a security advisory at
https://tech.f5.com/home/solutions/sol167.html

Additionally, hotfix HF-75705-76003-1 has been issued for supported versions of FirePass.

You may download this hotfix or later versions of the hotfix from the F5 Networks Downloads site (https://downloads.f5.com/esd/index.jsp).

Acknowledgments
This vulnerability has been discovered and researched by:

• Leonardo Nve S21Sec

With thanks to:

• Alberto Moro S21Sec

You can access the latest version of this advisory at
http://www.s21sec.com/avisos/s21sec-035-en.txt

Sin fronteras

Los días 15 y 16 de Mayo hemos estado patrocinando la Feria Information Security en Méjico. El encuentro de líderes en la Seguridad Informática, donde se han presentado la tecnologías más innovadoras dentro del sector de la Seguridad Informática.

Allí David Barroso, director de Investigación de S21sec ofreció una conferencia sobre "La amenaza del fraude digital". Fraude contra el que llevamos luchando años en S21sec y sobre el cual informamos anualmente al mercado a través de nuestro informe.

Desde aquí queremos agradecer a todos aquellos que nos habéis visitado y nos habéis mostrado vuestro interés e invitaros a nuestros siguientes eventos.

Adaptación y evolución de DDoS en redes P2P

Aunque se conocen grandes redes compuestas con miles de ordenadores zombis troyanizados para la realización de diversos ataques ( conocidas como botnets ), según estudios recientes de ISP’s y empresas relacionadas con el entorno de la seguridad, últimamente está en auge un nuevo método de ataque de DDoS que hace uso de las tan afamadas redes P2P.

En estos ataques, un gran número de sistemas cliente que ejecutan software P2P son engañados para realizar una petición conjunta de un fichero inexistente sobre el sistema a atacar, permitiendo al atacante el uso de las redes P2P para saturar mediante tráfico a la victima.

Este tipo de ataques han sido discutidos ampliamente en diferentes ocasiones por las empresas de seguridad el último año, pero empezaron a aparecer en Internet a principios de 2007, y su uso se ha acelerado en las últimas semanas, según Prolexic Technologies, empresa especializada en la defensa de ataques DDoS. El 14 de Mayo, un boletín de Prolexic reportaba un gran aumento en la cantidad y frecuencia de estos ataques.

La compañía asegura que cerca de 100.000 máquinas han sido usadas en algunos de estos ataques. Además, para un atacante, las redes P2P tienen un gran factor atrayente: no hace falta usar una red botnet previamente comprometida para llevar a cabo el ataque.

Actualmente, según los estudios llevados a cabo por Prolexic, el software más usado para poder llevar a cabo los ataques P2P es mediante la explotación de fallos en los clientes dc++. En su blog, los creadores de dc++ advierten de que su software está siendo usado para la realización de ataques DDoS, y aseguran que los últimos parches incorporados al sistema solucionan los problemas.

Por otra parte, el año pasado los investigadores de la Brooklyn Polytechnic University descubrieron fallos en el protocolo P2P de OverNet que permitía la manipulación de las redes P2P para la realización de DDoS. OverNet se usaba en las redes P2P eDonkey, que dejó de ser usada tras el cierre de la Web oficial después de que la Recording Industry Association of America (RIAA) tomara acciones legales contra ella.

Oscar Romero
Dept. Auditoría

IV foro sobre protección de datos de salud

Esto días participamos en el Foro Sobre Protección de Datos de Salud el organizado por SEIS (Sociedad Española de Informática de la Salud).El objetivo de este foro, no es otro que llevar a cabo acciones que favorezcan el desarrollo y la implantación de las tecnologías de la información y las comunicaciones en el sector sanitario.

En esta, su cuarta edición, el lema es "La Seguridad de la Información requisito para la Calidad de la Asistencia Sanitaria" y se quiere dejar patente que tanto la mejora como la prestación de nuevos servicios asistenciales que la sociedad demanda, pasa por el cumplimiento riguroso de la normativa vigente sobre Protección de Datos de Salud, así como por la implantación de procedimientos organizativos y mecanismos tecnológicos que garanticen la seguridad de la información e incrementen la calidad de los servicios prestados.

S21sec aportamos nuestro granito de arena a través de Antonio Ramos, director de Consultoría de S21sec que hablará sobre «La gestión de la seguridad en el entorno sanitario».

Esperamos veros por allí.

La Comisión Europea y su estrategia contra el cibercrimen

Ayer la Comisión Europea a través de su vicepresidente y responsable de Libertad, Seguridad y Justicia (Franco Frattini) definió las líneas políticas generales de la Comisión en la lucha contra el cibercrimen.

Entre los problemas identificados en la situación actual existen tres puntos que me parecen de especial interés:

• Dificultades operativas para el cumplimiento de la cooperación en materia legal en el cibercrimen
• Falta de estructuras cooperativas publico-privadas para esta lucha
• No existe un sistema claro de responsabilidad legal en la seguridad de aplicaciones, hardware y software.

Respecto a la primera solamente constata el eterno problema de la falta de bases jurídicas comunes en Europa (no solo en este aspecto sino en muchos otros). En el segundo destaca la apuesta por la cooperación público-privada para la lucha contra el cibercrimen, lo que puede redundar en un liderazgo de la industria europea de la seguridad y un buen balance entre intereses públicos y privados.

Respecto al tercer problema lo dejo abierto a comentarios ya que me parece un tema especialmente sensible...

Está clara la necesidad de una iniciativa liderada políticamente por altos cargos políticos de la Comisión a este respecto, pero no es menos real que las fronteras del cibercrimen no acaban en los países miembros y es imperativo el involucrar a terceros países para que el resultado tenga impacto.

De momento se han definido tres acciones específicas: una conferencia en Noviembre para coordinación público-privada, una red de especialistas del cibercrimen de los estados miembros y un programa de formación financiado por la UE. Bienvenidas sean estas acciones, esperamos que sean el comienzo de una apuesta verdadera.

New "Gozi" Trojan Varient

A new article in Computerworld: 21/05/2007

"A new, stealthier version of a previously known Russian Trojan horse program called Gozi has been circulating on the Net since April 17 and has already stolen personal data from more than 2000 home users worldwide.

The compromised information includes bank and credit card account numbers (including CVV codes), Social Security numbers, and online payment account numbers as well as usernames and passwords. As with its predecessor, the new version of Gozi is programmed to steal information from encrypted SSL streams and send the stolen information to a server based in Russia.

The variant was discovered by Don Jackson, a security researcher with Atlanta-based SecureWorks Inc., who also discovered the original Gozi Trojan back in January."

Read More: http://tinyurl.com/362r3p

IPv6 DoS Feature or Design Flaw?

SecurityFocus have published article this on their news site:

http://www.securityfocus.com/news/11463

It appears that the IETF have published two alternative "fixes" for the vulnerability in the IPv6 protocol that could be exploited to perform Denial of Service (DoS) attacks.

The flaw was exposed in April by Philippe Biondi and Arnaud Ebalardlies in their presentation to the CanSecWest confrerence entitled "Fun with IPv6 routing headers ". They highlighted the ability to exploit the Type 0 routing header (RH0) to tell IPv6 routers the routing path for a given packet. This allows the imact of a DoS attack to be multipled seriously by having victim devices ping-pong packets between themselves. Biondi and Ebalardiles suggest that support for RH0 headers could "allow attackers to amplify denial-of-service attacks on IPv6 infrastructure by a factor of at least 80".

The response form the IETF has been to issue the following proposals for implementations of the default IPv6 protocol:

1) Get rid of the feature
2) Turn it off unless it's really needed

The importance of this discovery is thatis not just a vulnerability in one vendor's implementatoin of IPv6 in an isolated product, but rather a flaw in the design of the basic protocol. This is no doubt the first of many such flaws that will come to light as the roll out of IPv6 becomes more widespread in the near future. Watch this space...

Jueves Gordo, Martes de Carnaval

Por todos es bien sabido que si por algo se caracteriza Microsoft es por la reserva a la hora de ofrecer información respecto a todo aquellos problemas de seguridad de sus productos. El motivo es que de este modo se limita la cantidad de información pública previniendo que usuarios maliciosos puedan usarla en beneficio propio con la intención de explotar las vulnerabilidades.

El sistema de notificaciones se supone diseñado para intentar hacer la vida de los administradores de TI algo más sencilla respecto a los parches que se van publicando mes a mes, pero al final lo que se tiene es un estado de emergencia todos los martes de cada mes, planes de actualización de sistemas retocados a toda velocidad, revisión de sistemas y SLAs correspondientes.

Parece ser que tras las últimas vulnerabilidades acaecidas y bajo la demanda continua de los usuarios y la presión que estos empiezan a ejercer, Microsoft ha empezado a plantearse de manera mas seria, informando de manera más eficaz sobre los parches publicados para cada una de las vulnerabilidades y las consecuencias que dichas vulnerabilidades pueden acarrear en los sistemas. Hasta la fecha, el servicio de notificaciones avanzadas informaba a los usuarios sobre la cantidad de boletines que afectaban a un producto, haciéndoles saber a lo sumo si la vulnerabilidad era o no de tipo crítica. Aparentemente, este sistema se va a ver alterado para incluir un sistema de ratios de seguridad con el que puntuar cada vulnerabilidad/parche y darle un peso específico (seguramente el DREAD o cualquier otro).

Esta información se envía cada jueves mediante el servicio de notificaciones avanzadas, antes de la aparición de los parches mensuales cada segundo martes de mes.

Así mismo, Microsoft también cambiara el formato de sus boletines de seguridad, haciendo que los usuarios puedan obtener una visión más rápida y directa sobre la severidad de la vulnerabilidad y la aplicabilidad sobre sus sistemas.

Oscar Romero
Dept. Auditoría

Yo Robot

Algo ya sabido es que un buscador web se puede usar para encontrar vulnerabilidades web de manera rápida, por ejemplo mediante una técnica denominada google hacking.

Hace unos días se publicó en una web un articulo llamado “I, Bot: Taking advantage of robots power”; el articulo, interesante hasta cierto punto resalta una realidad presente en Internet desde hace mucho tiempo, la presencia de Robots de búsqueda y explotación de vulnerabilidades web automáticas, algo que ya se apuntaba en el articulo de Michal Zalewski.

Usar estos buscadores web para localizar y explotar las vulnerabilidades es un paso que ya lo han dado, de hecho no es difícil localizar muchos servidores web vulnerables a SQL Injection que entre las tablas de su base de datos haya una con caracteres asiáticos.

Lo relevante de este articulo es una forma de explotación en la que se involucra a los diferentes buscadores, dado que la explotación de la vulnerabilidad se hace a través de ellos, exponiendo en una página web indexada la URL a la que se debe acceder para explotar la vulnerabilidad, a la que se van añadiendo las diferentes URLs de exploit conforme se obtienen mas resultados.

Esto nos deberia dar de pensar si verdaderamente obtenemos una ganancia cuando permitimos a los buscadores que revisen los contenidos de nuestros servidores web, o bien deberíamos de añadir un archivo robots.txt mucho mas restrictivo para no permitirles acceder a zonas sensibles de nuestras aplicaciones web.

Inaugurando

Hace siete años S21sec empezó su andadura con la idea clara de convertirse en el referente de seguridad telemática en España, esa fue la idea que tenía nuestro mayor innovador Mikel Fernández, y hoy en día vamos camino de conseguirlo, poco a poco, pero con el objetivo igual de claro que el primer día.


Hoy somos un buen puñado de gente, preocupados de trabajar, sin tiempo para pararnos y meditar sobre nuestro trabajo, sobre el mercado, sobre la situación actual del mundo en cuanto a seguridad, preocupados y volcados en nuestros clientes continuamente.

Pues hace aproximadamente unas pocas horas surgió de pronto la inquietud (en forma de un hermoso flameado de correos) de que tuviésemos un Blog como empresa, o algún sitio donde dejar que todo el mundo nos viese mas allá de nuestro trabajo.

Así que dicho y hecho aquí estamos, inaugurando este blog donde esperamos que se nos vea. Esperemos que no nos centremos en temas serios de trabajo y que también haya tiempo de ir mostrándonos un poco hacía el exterior de la manera en que somos: a veces estrafalarios, a veces serios.

Como siempre, ésta va por ti Mikel.