Xerox: problemi di buffer overflow

Nelle infrastrutture di rete odierne è facile “incappare” in dispositivi e appliance di vario genere, che non fanno altro che aggiungere nuovi grattacapo per gli amministratori di sistema di turno.

Tra questi sicuramente occupano un ruolo di primo piano le varie stampanti (anche se chiamarle cosi’ è un po’ riduttivo) di rete multifunzione, devices sempre più sofisticati che come tali portano con sè anche tutte le problematiche di sicurezza del caso.

Ultimo esempio lampante in termini di tempo è quello di Xerox, che ha rilasciato una patch (disponibile qui per il download) per i suoi prodotti WorkCentre 5735, 5740, 5745, 5755, 5765, 5775 e 5790. Scopo del fix, risolverer un bug di tipo buffer overflow individuato nel servizio SMB (Samba) del server integrato delle stampanti.

La vulnerabilità consente infatti di accedere in maniera non autorizzata al sistema per poter effettuare modifiche alla configurazione dei dispositivi stessi (vedi bullettin in PDF).

E’ interessante notare come queste falle possano essere sfruttate in un’ottica di spionaggio industriale: questi dispositivi spesso dispongono di supporti di memorizzazione interni (hard disk, etc.) che salvano “temporaneamente” documenti stampati o magari scansionati (rapporti interni aziendali, contratti, etc.). A seconda del modello questi dati possono essere recuperati in modalità plain-text.

Nonostante Xerox sia stata più volte attenta in passato a problematiche di sicurezza, rilasciando aggiornamenti per i prodotti, questa tipologia di falla era nota da parecchio tempo e infatti già da tempo fissata in molte distribuzioni Linux.

Nel mirino di hackers e pen-testers vari comunque, anche le stampanti di rete di altri vendor come Toshiba e Canon. In particolare alla conferenza ShmooCon di gennaio è stato mostrato come accedere in maniera remota a stampanti HP collegate alla rete aziendale. Insomma ce n’è per tutti… dunque occhio a cosa stampate!

Fonte articolo:
When buffer overflows in printers become a risk, by Heise Security

Netgear RangeMax WNR3500L: wireless 802.11n e Linux

Netgear ha annunciato il rilascio del proprio router WNR3500L che oltre al supporto per wireless-N monta anche un firmware Linux-based.
Il dispositivo è dotato di una porta Gigabit Ethernet e una USB 2.0 che consente di collegare un hard disk esterno o un modem USB 3G.
Questo nuovo modello monta un processore MIPS 480Mhz, 8MB di memoria flash e 64MB di RAM.

Il Netgear RangeMax WNR3500L supporta una vasta gamma di firmware open source, dai DD-WRT e OpenWrt al HyperWRT-based Tomato.
Le versioni compatibili del firmware sono disponibili per il download nell’apposita sezione della community myopenrouter.com.
Il firmware originale del device è basato su kernel Linux 2.4.20 e i sorgenti sono disponibili online.

Per ulteriori dettagli si rimanda alla visione della pagina web del prodotto e del relativo datasheet.
Stando alle dichiarazioni di Netgear il router dovrebbe essere disponibile a breve (autunno 2009, ormai ci siamo!).
Il prezzo sul mercato per quanto riguarda gli Stati Uniti dovrebbe aggirarsi sui 139.99$.

Disponibile Nessus 4.0

Tenable Network Security ha annunciato pochi giorni fa il rilascio della versione 4 del suo vulnerability scanner Nessus.
Nessus è un network scanner in grado di individuare vulnerabilità in singoli sistemi o reti di computer, prevenendo così attacchi informatici di vario genere. Tra le sue funzionalità anche la capacità di verificare sugli host di una rete la presenza di prodotti antivirus correttamente aggiornati.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
Version 4 of the Nessus vulnerability scanner released, by Heise Security

Cisco: patch per ASA e PIX

Cisco ha rilasciato alcuni aggiornamenti di sicurezza per le sue PIX Security Appliances e Adaptive Security Appliances (ASA).
Se il dispositivo è configurato per l’accesso VPN SSL o IPSec, le vulnerabilità consentono ad un cracker di bypassare il meccanismo di autenticazione quando si effettua l’accesso ad un dominio Windows NT.

In aggiunta è possibile causare memory leak nell’ASA Crypto Accelerator attraverso pacchetti appositamente modificati. Questo da’ la possibilità di effettuare attacchi di tipo Denial of Service (DoS).
E’ possibile altresi’ usando pacchetti IPv6 appositamente creati, causare un reboot delle appliance.
Nel security advisory di Cisco vengono riportate con esattezza le versioni delle piattaforme interessate dal problema.

RIFERIMENTI:
Cisco removes vulnerabilities in ASA and PIX, by Heise Security
Multiple Vulnerabilities in Cisco PIX and Cisco ASA, Cisco Security Advisory

In arrivo le nuove tecniche per i rootkits

In occasione dei prossimi convegni sulla computer security, vari hackers/security researchers stanno preparando il proprio materiale in tema di rootkits.
Sebastian Muñiz di Core Security ha sviluppato un rootkit per i router Cisco e sta pensando di presentarlo all’EuSecWest Conference che si terrà a Londra il 21 e 22 di maggio.
Sherri Sparks e Shawn Embleton di Clear Hat Consulting sfruttano un operational mode poco conosciuto dei processori Intel per nascondere il codice. Il loro lavoro sarà presentato alla conferenza Black Hat USA 08 il 6-7 agosto al Caesars Palace Hotel and Casino di Las Vegas.

Il rootkit sviluppato da Sparks e Shawn usa il System Management Mode (SMM) dei processori Intel per nascondere in memoria un key logger.
Il System Management Mode è pensato per individuare e reagire a eventi di sistema come errori della memoria e del chipset, estendendo le funzionalità della scheda madre e gestendo il controllo della temperatura e dell’alimentazione.
SMM è implementato su tutti i moderni processori x86 e x64, inclusi quelli prodotti da Via e AMD.
Il sistema operativo non è in grado di interrompere una chiamata SMM.
Quando il processore riceve un System Management Interrupt (SMI) non-maskable, viene sospesa l’esecuzione del s.o. stesso e dei programmi, salvato lo stato della macchina, ed eseguito il codice da una zona di memoria privilegiata e nascosta.
Uno dei pericoli è che il codice non può accedere alcun drivers del sistema operativo in modalità SMM, ma deve “dialogare” direttamente con l’hardware.

Alla CanSecWest Conference del 2006, Loic Duflot ha presentato un articolo in cui mostra come i superusers possano innalzare i propri privilegi grazie a SMM su un sistema OpenBSD. Al tempo pero’ non fu reso pubblico alcun rootkit per SMM.

Il rootkit per l’IOS Cisco sviluppato da Sebastian Muñiz di Core Security Technologies presumibilmente gira su diverse versioni del sistema operativo.
Un attaccante deve prima di tutto ottenere l’accesso alla macchina che vuole compromettere, magari mediante una vulnerabilità nota (della particolare versione) e code injection.
Il codice viene quindi memorizzato nel firmware e immediatamente eseguito una volta che il device viene riavviato.
Apparentemente, i router Cisco possono essere controllati e monitorati senza che nessuno se ne accorga.
Muñiz ha già fatto sapere che non rilascierà il codice sorgente per questo rootkit.

Preoccupante inoltre come recentemente, l’FBI abbia individuato moduli e appliances Cisco piratati, utilizzati dal governo e dai militari. L’ipotesi alquanto preoccupante è che qualcuno stia già utilizzando questi devices per scopi di spionaggio.
Il rootkit di Muñiz potrebbe dimostrare come questo pericolo non sia solamente teorico, ma effettivamente reale, anche Cisco non ha individuato nulla di anomalo nei dispositivi sequestrati dall’FBI.

Va ricordato a riguardo quanto successe in occasione del Black Hat 2005, quando Michael Lynn parlò di alcune vulnerabilità dei router Cisco che consentivano l’injection e l’esecuzione di codice malevole.
Cisco scatenò l’inferno tentando di impedire a Lynn di fare la presentazione, addirittura intentandogli causa.
L’avvocato Jennifer Granick di Electronic Freedom Foundation (EFF), che rappresentò Lynn nel caso contro Cisco, avverte che la cosa potrebbe ripetersi, con Cisco che potrebbe intentare causa contro Muñiz per violazione di segreti commerciali.
A quanto pare però Muñiz non sembra molto preoccupata dalla cosa visto la brutta figura che ci fece Cisco nel 2005.
Dice infatti: “Cisco si definisce come una società molto vicina e amichevole nei confronti di chi svolge ricerca… Ci penseranno bene prima di intentare un’azione legale.”.

FONTI:
* Security Researcher to release Cisco rootkit at EUSecWest, news sul blog di Nathan McFeters
* A New Breed of Rootkit: The System Management Mode (SMM) Rootkit, annuncio della presentazione di Shawn Embleton e Sherri Sparks al BlackHat USA 08
* Hackers present new rootkit techniques, by Heise Security

P4P: la naturale evoluzione del trasferimento peer-to-peer

La Distributed Computing Industry Association e il suo “P4P Working Group” stanno lavorando ad un nuovo protocollo peer-to-peer, chiamato “Proactive network Provider Participation for P2P” o P4P. Esso viene descritto come un “sistema di trasferimento file peer-to-peer carrier-grade”.

Ciò che potrebbe però sorprendere è che tra le compagnie che compongono l’associazione rientrano non solo aziende come LimeWire, BitTorrent e Skype, ma anche AT&T e Verizon.
Il New York Times ha di recente pubblicato un articolo in cui enfatizza l’allarmante quantità di traffico dati che passa su Internet.
Nonostante la storia punti l’attenzione su siti come YouTube, è pur vero che il traffico P2P rappresenta per la maggior parte degli ISPs una grossa percentuale del traffico di rete.

Lo scopo del P4P è quello di ridurre il traffico sfruttando la topologia di rete nel trasferimento dati “selezionando” in maniera intelligente piuttosto che casuale i differenti peers, migliorando così l’efficenza del routing globale.
Riducendo infatti il numero di hops che un pacchetto deve fare da sorgente a destinazione si migliorano le condizioni globale del network.
Il paper intitolato “P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers” è stato presentato in occasione della conferenza inaugurale del DCIA P2P Market a New York City, lo scorso venerdi’.
E’ stato mostrato come il P4P migliori il download rate del 205% rispetto a un classico download P2P, e dimininuisca il numero di hops necessari nell’instradamento interno degli ISP da 5.5 hops a a 0.89 hops.

E le informazioni sulla topologia di rete? Se ne occupa Verizon.
Questo non significa assolutamente che Verizon approvi i trasferimenti P2P, quelli illegali per lo meno.
Nel PDF infatti leggendo gli obiettivi del P4P Working Group: “… lavorare assieme e in maniera coordinata con i più grandi Internet Service Providers (ISPs), aziende distributrici di software peer-to-peer (P2P) e ricercatori al fine di individuare le best practices per l’uso del P4P come meccanismo di distribuzione dei contenuti e onde ottimizzare l’uso delle risorse di rete degli ISPs, garantendo la migliori performances possibili all’utente finale…”

APPROFONDIMENTI:
P4P Aims to Speed Peer-to-Peer File Transfers, Reduce Traffic – by RealTechNews
P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers, research paper
P4P Working Group’s mission statement

Migliaia di sistemi a rischio per via di SNMP malconfigurato

La scansione di circa 2,5 milioni di IP da parte di Adrian Pastor di GNUCitizen ha rivelato come 5320 sistemi possano “potenzialmente” essere controllati e/o compromessi via Internet attraverso il protocollo SNMP.
Le comunicazioni SNMP tipicamente avvengono per mezzo di testo in chiaro (passwords e “community strings” ad esempio).
Per ragioni di sicurezza l’utilizzo di SNMP se necessario, va limitato e ristretto al proprio perimetro di rete.

Purtroppo questa precauzione spesso non viene presa in considerazione, e vengono lasciate impostate le community strings con i valori di default.
Tra i sistemi più diffusi individuati da Pastor nella sua indagine vi sono: router Zyxel Prestige, Netopia, Cisco, dispositivi Apple AirPort/Base Station e modem voip Touchstone di Arris. Sono stati identificati anche sistemi Windows 2000.
Durante il suo test, Pastor ha inviato query con object ID (OID) 1.3.6.1.2.1.1.1.0, che ritorna il modello di router e il costruttore.
Non sono state ricercate specifiche vulnerabilità, tuttavia lo stesso Pastor ha in passato pubblicato un’analisi che rivela numerose vulnerabilità in routers molto diffusi come ad esempio gli Zyxel Prestige, incluse alcune legate a SNMP.
E’ stato mostrato come l’accesso SNMP possa rivelare la lista degli utenti su macchine Windows 2000 Server, dati relativi all’accesso DSL sui routers BT Voyager, passwords di amministrazione sulle stampanti HP e altri parametri inclusi quelli di login per il dns dinamico su routers Zyxel.

Di per sè il protocollo SNMP non rappresenta un problema di sicurezza, visto che comunque moltissimi tools tra cui HP OpenView, Cisco Works LMS e Nagios lo utilizzano ampiamente: tuttavia è intrisecamente insicuro e progettato per essere usato in ambito locale e interno. Detto questo ogni sua “esposizione” su Internet dovrebbe andare caldamente evitata!

APPROFONDIMENTI:
* Exploring the UNKNOWN: Scanning the Internet via SNMP!, report from Adrian Pastor
* ZyXEL Gateways Vulnerability Research (PDF) , report from Adrian Pastor
* Systems disclose sensitive data via SNMP , news by Heise Security

Da Intel "switching wifi – wimax"

Il colosso Intel ha presentato di recente il proprio dispositivo di rete in grado di switchare in maniera istantanea il segnale fra una classica rete WiFI ed una WiMax. La compagnia ha dichiarato infatti che gli utenti in questo modo potranno continuare a restare connessi e navigare, indifferentemente che si trovino in presenza di reti Wireless, WiMax o di entrambe.
La tecnologia è stata mostrata lunedi’ a Barcellona in occasione del GSMA Mobile World Congress.
Con Intel allo sviluppo hanno collaborato anche Nokia e Siemens Networks.
L’idea è appunto quella di un dispositivo che consenta all’utente di muoversi liberamente per la città col proprio notebook, palmare, pocketpc restando perennemente connesso a quella che si potrebbe definire una “rete globale” priva di interruzioni di servizio.
Tutto questo anche e sopprattutto grazie al fatto che il device sarebbe in grado di farlo in modo completamente trasparente all’utilizzatore.

APPROFONDIMENTI:
Intel Device Freely Switches Between Wi-Fi, WiMax Networks, by InformationWeek

Pericolosa vulnerabilità per UltraVNC Viewer

Sul forum di UltraVNC è comparsa la segnalazione di un bug che interessa vncviewer, parte del pacchetto UltraVNC server, e che consentirebbe ad un ipotetico attaccante di ottenere l’accesso al sistema vittima.
Non è stata rilasciata alcuna informazione circa la vulnerabilità da parte degli sviluppatori, ma questa potrebbe venire sfruttata quando vncviewer gira in listening mode o è connesso ad un server appositamente modificato. Fintanto che il viewer gira in modalità listening un server puo’ stabilire con esso una connessione.

Il problema di sicurezza si verifica anche in caso sia attivo il plugin DSM (per l’encrypting della comunicazione), anche se in questo caso l’attaccante dovrebbe essere in possesso di una chiave valida.
Il server non è invece interessato da simili problemi di sicurezza.
Il report su uvnc.com, segnala il bug come presente nelle versioni 1.0.2 (stabile) e in tutte le release candidates dalla 1.0.4 in su.
Il consiglio è dunque quello, laddove possibile, di effettuare l’aggiornamento o quanto meno di disattivare il listening mode e connettersi solamente a server fidati.

RIFERIMENTI:
Uninvited remote maintenance for UltraVNC clients, by Heise Security
WARNING: vulnerability found in the vncviewer…, security advisory on the uvnc forum

Aggiornamento per i routers Juniper

L’Internet Storm Center (ISC) ha rilasciato un report in cui vengono elencati alcuni bugs che interessano la famiglia di routers Juniper.
I dispositivi sarebbero suscettibili a problemi di crash nella fase di processing di pacchetti “malformati”. Juniper che è il secondo più grande produttore/distributore di routers e switch al mondo – e uno dei primi competitor di Cisco per quanto riguarda i routers di fascia alta – ha rilasciato gli aggiornamenti che servono a correggere il problema.

Le versioni di JUNOS interessate vanno dalla 7.3 alla 8.4 compresa. Il crash si verifica in seguito alla ricezione di pacchetti IPv6 appositamente modificati. Inoltre la ricezione di pacchetti BGP “malformati” può causare la chiusura improvvisa delle sessioni BGP aperte.
Juniper ha messo a disposizione degli utenti registrati le relative patches.
Nella versione JUNOS 8.5R1 il bug riguardante IPv6 è stato infatti fixato.

RIFERIMENTI:
* Important upgrade for Juniper routers, ISC security advisory
* Update for the IPv6 hole (registered users)
* Update for the BGP hole (registered users)
* Updates close DoS hole in Juniper routers, by Heise Security