Metasploit, la herramienta más utilizada
para poner a prueba redes, equipos y páginas web, ha recibido una nueva
actualización. Ya podemos descargar la versión 4.7.0 (Update
2013091801), que incluye 10 nuevos módulos de explotación,
incluyendo entre ellos dispositivos D-Link, Aplicaciones de protección
web de Sophos, el Administrador HP ProCurve, etc… y lo más importante
aún, cuenta también con los módulos de autentificación de la mayoría de los servicios que pasaremos a describir a continuación.
Además de añadir estos nuevos módulos a explotar, esta actualización corrige 4 problemas conocidos de versiones anteriores.
Nuevos Módulos
1. Dispositivos D-Link UPnP SOAP, vía comando de ejecución por Telnet.Diferentes routers de la prestigiosa marca D-Link son vulnerables a la inyección de comandos del sistema operativo de la interfaz SOAP UPnP. Dado que es una vulnerabilidad de inyección ciega de comandos OS, no hay salida para el comando que se ejecuta cuando se utiliza como objetivo el CMD (consola o terminal en Windows). Además, dos objetivos se incluyen para iniciar un servicio telnet y establecer una sesión sobre esta terminal, o para desplegar una carga útil nativa en el sistema. Este módulo de Metasploit ha sido probado con éxito en los aparatos denominados DIR-300, DIR-600, DIR-645, DIR-845 y DIR-865. según el descubridor de este exploit, otros dispositivos también pueden verse afectados.
2. Aplicación de protección web Sophos, paquete de ejecución arbitraria de comandos
Esta aplicación concreta tiene un
defecto en el directorio /opt/ws/bin/scriptPerlsblistpack, el cual puede
ser ejecutado remotamente. El problema llega a través de la función de
gestión del script /end-user/index.php () llamando a scripts adicionales
a través del parámetro ‘c’. Al solicitar este parámetro con un valor
‘bloqueado’, se invocará el guion UsrBlocked.php. Este script llama a su
vez al
archivo /opt/ws/bin/scriptsblistpakPerl que no limpia correctamente la entrada proporcionada por el usuario cuando el parámetro de ‘acción’ se establece en ‘continuar’ y el parámetro ‘args_reason’ tiene un valor distinto de ‘all_filetypewarn’. El primer argumento del script pasó a los get_referers (), cuya función permite a un atacante inyectar un carácter determinado y los comandos Shell
que se ejecutarán con privilegios, en el proceso de ejecución.
archivo /opt/ws/bin/scriptsblistpakPerl que no limpia correctamente la entrada proporcionada por el usuario cuando el parámetro de ‘acción’ se establece en ‘continuar’ y el parámetro ‘args_reason’ tiene un valor distinto de ‘all_filetypewarn’. El primer argumento del script pasó a los get_referers (), cuya función permite a un atacante inyectar un carácter determinado y los comandos Shell
que se ejecutarán con privilegios, en el proceso de ejecución.
3. Aplicación de protección web Sophos, elevación local de privilegios con clear_keys.pl
Este módulo inyecta comandos en el
script de Perl ‘clear_keys.pl’, instalado en esta aplicación web que
mencionamos, para escalar privilegios desde usuario a ‘root’. Es muy
‘útil’ si posteriormente a su ejecución queremos seguir explotando
vulnerabilidades de la interfaz gráfica de la Aplicación de protección
web de Sophos. Ha sido probado con éxito en Sophos Virtual Appliance Web
3.7.0.
4. Administrador HP ProCurve SNAC UpdateCertificatesServlet Carga de Archivos
Este módulo explota un fallo en el
recorrido que sigue el Administrador HP ProCurve SNAC Server. La
vulnerabilidad en el UpdateCertificatesServlet permite a un atacante
subir archivos aleatorios, con sólo tener en cuenta que las estructuras
binarias no está permitidas. Además, la autenticación puede ser evitada
con el fin de subir el archivo anónimamente. Ha sido probado con éxito
en el servidor SNAC con el Administrador HP ProCurve 4.0 instalado.
5. Administrador HP ProCurve SNAC UpdateDomainControllerServlet Carga de Archivos
Este módulo explota un fallo en el
recorrido que sigue el Administrador HP ProCurve SNAC Server. La
vulnerabilidad en el UpdateDomainControllerServlet permite a un atacante
subir archivos de forma aleatoria, con sólo tener en cuenta que las
estructuras binarias no está permitidas. Además, la autenticación puede
ser evitada con el fin de subir el archivo anónimamente. Ha sido probado
con éxito en el servidor SNAC con el Administrador HP ProCurve 4.0
instalado.
6. Agnitum Outpost Internet Security, elevación local de privilegios
Con este módulo se aprovecha una
vulnerabilidad en el recorrido de directorios en Agnitum Outpost
Internet Security 8.1. La vulnerabilidad se encuentra en el componente
acs.exe, lo que permite al usuario cargar DLL’s aleatorios a través de
la vía llamada ‘acsipc_server’, y finalmente ejecutar el código que se
desee con privilegios System. Dicho módulo ha sido probado con éxito en
Windows 7 SP1 con Agnitum Outpost Internet Security 8.1 (32 y 64 bits).
7. IKE y IPsec AuthIP Módulo de Servicio Keyring (IKEEXT) DLL faltante
En este módulo se aprovecha la falta de
una DLL en la carga del servicio que se ejecuta como System, y se
iniciará automáticamente por defecto en la instalación de Windows Vista o
Windows 8. Se requiere una ruta /bin insegura para la carga de DLL.
8. Aplicación de protección web Sophos patience.cgi Directorio Transversal
Con este módulo, se permite a un
atacante entrar a una ruta restringida. El problema radica en que el
script /cgi-bin/patrince.cgi no limpia la entrada del usuario de forma
adecuada, específicamente la entrada transversal (por ejemplo: ../..)
que se suministra mediante el parámetro ‘id’. Este ataque de directorio
transversal permitiría a un atacante el acceso a todo el árbol de
archivos.
9. HP ProCurve SNAC, Volcado del controlador de dominio de credenciales
Con la explotación de este módulo se
extraerán las credenciales del controlador de dominio de las
instalaciones vulnerables de HP SNAC como las distribuidas con HP
ProCurve 4.0.0 y 3.2.0. La vulnerabilidad no es más que la omisión de
autenticación y se ha usado en pruebas para explotar la carga de
archivos remotos. Esta vulnerabilidad también puede ser utilizada para
obtener información importante que se encuentre bajo la supervisión de
la aplicación vulnerable, como las credenciales de texto sin formato del
controlador de dominio. Ha sido probado con éxito en HP SNAC incluido
en ProCurve 4.0.
10. Información de enumeración de Hosts mediante autenticación NTLM
Este módulo se encargará de hacer
peticiones a los recursos del servidor de destino en un intento de
encontrar recursos que permitan la autenticación NTLM. Para estos
recursos que permitan dicha autenticación, se envía un mensaje NTLM en
blanco, un mensaje tipo 1 para enumerar aa y tipo 2 al servidor de
destino. El mensaje de tipo 2 se analiza a continuación para obtener
información como lo haría el dominio de Active Directory y el nombre en
NetBIOS.
Problemas resueltos
- Solucionado los problemas de carga útil en ciertas plataformas Android.
- Corregido el que los atajos de teclado anulasen ciertos campos de formulario.
- Arreglado un problema que impedía recoger información del sistema en ciertas sesiones Meterpreter.
- Solventado el problema que impedía que cadenas de tareas programadas se ejecutasen.
Para actualizar la versión Pro de
Metasploit podéis usar el menú de administrador, eligiendo la opción
‘Software Upgrade’; aunque no está de más echar un vistazo al vídeo de cómo actualizar que encontraréis en la comunidad oficial de Metasploit.
Fuente:
http://openwebinars.net/metasploit-nuevas-amenazas/
Comentarios
Publicar un comentario