VULNERABILIDAD EN PRODUCTOS Trend Micro FACILITAN EJECUCION REMOTA DE COMANDOS
Una vez más sale a la luz una vulnerabilidad reportada por Project Zero
de Google. En esta ocasión diversos productos Trend Micro se ven
afectados por un sencillo problema que podría permitir la ejecución
remota de comandos arbitrarios.
Tavis Ormandy, el conocido investigador de Google, ha descubierto un
stub remoto de depuración de Node.js en los productos Trend Micro
Maximum Security, Premium Security y Password Manager. El propio Tavis
ha calificado el fallo como ridículo.
Un stub es una clase que implementa la interfaz remota de forma que
cualquiera puede utilizarla como si se tratara de una local. Básicamente
se trata de un servidor que implementa ciertos métodos sobre los cuales
se puede ejecutar código Javascript. Este tipo de sistema es usado en
labores de depuración pero, tal y como suele ser habitual en este tipo
de funcionalidad, su explotación suele ser trivial mientras que su
impacto puede llegar a ser crítico si este servicio llega a publicarse
en producción.
El problema es realmente sencillo de explotar. Con la configuración por
defecto al arrancar los productos afectados el stub de depuración
Node.js se inicia y escucha en localhost, el único problema reside en
que el puerto de escucha puede cambiar.
De forma que para explotar el fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require(‘child_process’).spawnSync(‘calc.exe’)
Basta un sencillo bucle para encontrar el puerto en el que el stub se
encuentra a la escucha.
TrendMicro accidentally left a remote debugging server running on all customer machines ¯_(ツ)_/¯ #oops https://t.co/bPLFOrTLBl
— Tavis Ormandy (@taviso) March 30, 2016
El problema se reportó a Trend Micro el 22 de marzo, que reaccionó
rápidamente y publicó un parche temporal el día 30. Según el
investigador, en determinadas circunstancias, aun con el parche
provisional instalado, podría seguir siendo vulnerable. De todas formas,
dada la gravedad del problema, Trend Micro ha publicado ya versiones
actualizadas y trabaja en una versión definitiva.
No es la primera vez que Tavis Ormandy centra sus descubrimientos en
productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.
El pasado septiembre, el investigador también avisó de fuertes
evidencias de la existencia de un mercado negro muy activo en
vulnerabilidades en productos de seguridad. Por esta razón consideraba
que los fabricantes de productos de seguridad tienen la responsabilidad
de mantener los más altos estándares de desarrollo seguro para minimizar
el posible daño potencial causado por su software.
Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/03/ejecucion-remota-de-comandos-en.html#comments
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.