TREND MICRO Ejecución remota de comandos en productos suyos

Nueva vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectados por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.

Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.

Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.

De forma que para explotar el fallo basta con realizar algo similar:

http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')

Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.

TrendMicro accidentally left a remote debugging server running on all customer machines #oops https://t.co/bPLFOrTLBl

— Tavis Ormandy (@taviso) 30 de marzo de 2016

El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.

No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.

El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.

Más información:

• TrendMicro: A remote debugger stub is listening in default install https://bugs.chromium.org/p/project-zero/issues/detail?id=773
• Analysis and Exploitation of an ESET Vulnerability http://googleprojectzero.blogspot.com.es/2015/06/analysis-and-exploitation-of-eset.html
• Sophail: Applied attacks against Sophos Antivirus https://lock.cmpxchg8b.com/sophailv2.pdf
• Kaspersky: Mo Unpackers, Mo Problems. http://googleprojectzero.blogspot.com.es/2015/09/kaspersky-mo-unpackers-mo-problems.html

Fuente: Hispasec