27 de septiembre de 2011

VULNERABILIDAD DE "NetworkManager" EN "Red Hat Enterprise Linux"

Publicada una vulnerabilidad que afecta al producto NetworkManager que podría permitir un atacante local elevar privilegios en el sistema.
NetworkManager es un conjunto de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para la mayoría de sistemas Linux.
Detalles de la vulnerabilidad:
  • La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el fichero 'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario.
  • Un atacante local podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.
Los pasos a seguir para explotar la vulnerabilidad ,como usuario sin privilegios, serían los siguientes:
  1. Crear una conexión ethernet con nombre, por ejemplo, "test".
  2. Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
  3. Introducir el comando "usernetctl test up"
  4. Nos devuelve una shell con privilegios root.
Versiones afectadas :
  • Las versiones afectadas por esta vulnerabilidad son la NetworkManager-0.9.0-1.fc15 y anteriores.
Recomendaciones:
  • Red Hat recomienda la actualización de dicho software.
Fuente: Red Hat

LA WEB DE MySQL ATACADA

La página de software open source MySQL.com ha sido hackeada con el objetivo de infectar a los usuarios con sólo entrar en la web.

Detalles del ataque:
  • Los hackers lograron instalar un código JavaScript capaz de infectar a todos los internautas que visitaban la página de la base de datos open source MySQL que es propiedad de Oracle.
  • El malware infecta equipos Windows con navegadores desactualizados o versiones de Reader, Flash o Java sin parchear.
  • Los responsables de MySQL eliminaron el malware pero “eso no significa que limpiaran los backdoors que los atacantes dejaron en el sitio”, advierte Wayne Huang, CEO de la firma de seguridad Amorize.
Consecuencias del ataque:
  • Se desconoce el tiempo que la página ha estado infectando a los visitantes y la cantidad de usuarios que podrían haberse visto afectados pero los expertos temen que la cifra sea elevada ya que MySQL.com recibe más de 34.000 visitantes únicos cada día y registra más de 100.000 páginas vistas diariamente.
  • Tampoco se conoce el alcance exacto de las infecciones, pero Huang asegura que este tipo de malware puede ser muy difícil de eliminar ya que modofica algunos Windows .dlls (Dynamic-link libraries) para permanecer instalado en el equipo.
  • Al parecer, la página hackeada redirigía a los usuarios a un kit de exploit BlackHole que instalaba malware en el equipo de la víctima sin que esta fuera consciente y sin que fuera necesario pulsar en ninguna opción ni aceptar descarga alguna.
Fuentes: Eweek, Cnet