Metasploit, nuevas amenazas… ¡Nuevo Metasploit! (SEPTIEMBRE 2013)

Metasploit, la herramienta más utilizada para poner a prueba redes, equipos y páginas web, ha recibido una nueva actualización. Ya podemos descargar la versión 4.7.0 (Update 2013091801), que incluye 10 nuevos módulos de explotación, incluyendo entre ellos dispositivos D-Link, Aplicaciones de protección web de Sophos, el Administrador HP ProCurve, etc… y lo más importante aún, cuenta también con los módulos de autentificación de la mayoría de los servicios que pasaremos a describir a continuación.

Además de añadir estos nuevos módulos a explotar, esta actualización corrige 4 problemas conocidos de versiones anteriores.

Nuevos Módulos

1. Dispositivos D-Link UPnP SOAP, vía comando de ejecución por Telnet. 
Diferentes routers de la prestigiosa marca D-Link son vulnerables a la inyección de comandos del sistema operativo de la interfaz SOAP UPnP. Dado que es una vulnerabilidad de inyección ciega de comandos OS, no hay salida para el comando que se ejecuta cuando se utiliza como objetivo el CMD (consola o terminal en Windows). Además, dos objetivos se incluyen para iniciar un servicio telnet y establecer una sesión sobre esta terminal, o para desplegar una carga útil nativa en el sistema. Este módulo de Metasploit ha sido probado con éxito en los aparatos denominados DIR-300, DIR-600, DIR-645, DIR-845 y DIR-865. según el descubridor de este exploit, otros dispositivos también pueden verse afectados.
2. Aplicación de protección web Sophos, paquete de ejecución arbitraria de comandos

Esta aplicación concreta tiene un defecto en el directorio /opt/ws/bin/scriptPerlsblistpack, el cual puede ser ejecutado remotamente. El problema llega a través de la función de gestión del script /end-user/index.php () llamando a scripts adicionales a través del parámetro ‘c’. Al solicitar este parámetro con un valor ‘bloqueado’, se invocará el guion UsrBlocked.php. Este script llama a su vez al
archivo /opt/ws/bin/scriptsblistpakPerl que no limpia correctamente la entrada proporcionada por el usuario cuando el parámetro de ‘acción’ se establece en ‘continuar’ y el parámetro ‘args_reason’ tiene un valor distinto de ‘all_filetypewarn’. El primer argumento del script pasó a los get_referers (), cuya función permite a un atacante inyectar un carácter determinado y los comandos Shell
que se ejecutarán con privilegios, en el proceso de ejecución.

3. Aplicación de protección web Sophos, elevación local de privilegios con clear_keys.pl

Este módulo inyecta comandos en el script de Perl ‘clear_keys.pl’, instalado en esta aplicación web que mencionamos, para escalar privilegios desde usuario a ‘root’. Es muy ‘útil’ si posteriormente a su ejecución queremos seguir explotando vulnerabilidades de la interfaz gráfica de la Aplicación de protección web de Sophos. Ha sido probado con éxito en Sophos Virtual Appliance Web 3.7.0.

4. Administrador HP ProCurve SNAC UpdateCertificatesServlet Carga de Archivos

Este módulo explota un fallo en el recorrido que sigue el Administrador HP ProCurve SNAC Server. La vulnerabilidad en el UpdateCertificatesServlet permite a un atacante subir archivos aleatorios, con sólo tener en cuenta que las estructuras binarias no está permitidas. Además, la autenticación puede ser evitada con el fin de subir el archivo anónimamente. Ha sido probado con éxito en el servidor SNAC con el Administrador HP ProCurve 4.0 instalado.

5. Administrador HP ProCurve SNAC UpdateDomainControllerServlet Carga de Archivos

Este módulo explota un fallo en el recorrido que sigue el Administrador HP ProCurve SNAC Server. La vulnerabilidad en el UpdateDomainControllerServlet permite a un atacante subir archivos de forma aleatoria, con sólo tener en cuenta que las estructuras binarias no está permitidas. Además, la autenticación puede ser evitada con el fin de subir el archivo anónimamente. Ha sido probado con éxito en el servidor SNAC con el Administrador HP ProCurve 4.0 instalado.

6. Agnitum Outpost Internet Security, elevación local de privilegios

Con este módulo se aprovecha una vulnerabilidad en el recorrido de directorios en Agnitum Outpost Internet Security 8.1. La vulnerabilidad se encuentra en el componente acs.exe, lo que permite al usuario cargar DLL’s aleatorios a través de la vía llamada ‘acsipc_server’, y finalmente ejecutar el código que se desee con privilegios System. Dicho módulo ha sido probado con éxito en Windows 7 SP1 con Agnitum Outpost Internet Security 8.1 (32 y 64 bits).

7. IKE y IPsec AuthIP Módulo de Servicio Keyring (IKEEXT) DLL faltante

En este módulo se aprovecha la falta de una DLL en la carga del servicio que se ejecuta como System, y se iniciará automáticamente por defecto en la instalación de Windows Vista o Windows 8. Se requiere una ruta /bin insegura para la carga de DLL.

8. Aplicación de protección web Sophos patience.cgi Directorio Transversal

Con este módulo, se permite a un atacante entrar a una ruta restringida. El problema radica en que el script /cgi-bin/patrince.cgi no limpia la entrada del usuario de forma adecuada, específicamente la entrada transversal (por ejemplo: ../..) que se suministra mediante el parámetro ‘id’. Este ataque de directorio transversal permitiría a un atacante el acceso a todo el árbol de archivos.

9. HP ProCurve SNAC, Volcado del controlador de dominio de credenciales

Con la explotación de este módulo se extraerán las credenciales del controlador de dominio de las instalaciones vulnerables de HP SNAC como las distribuidas con HP ProCurve 4.0.0 y 3.2.0. La vulnerabilidad no es más que la omisión de autenticación y se ha usado en pruebas para explotar la carga de archivos remotos. Esta vulnerabilidad también puede ser utilizada para obtener información importante que se encuentre bajo la supervisión de la aplicación vulnerable, como las credenciales de texto sin formato del controlador de dominio. Ha sido probado con éxito en HP SNAC incluido en ProCurve 4.0.

10. Información de enumeración de Hosts mediante autenticación NTLM

Este módulo se encargará de hacer peticiones a los recursos del servidor de destino en un intento de encontrar recursos que permitan la autenticación NTLM. Para estos recursos que permitan dicha autenticación, se envía un mensaje NTLM en blanco, un mensaje tipo 1 para enumerar aa y tipo 2 al servidor de destino. El mensaje de tipo 2 se analiza a continuación para obtener información como lo haría el dominio de Active Directory y el nombre en NetBIOS.

Problemas resueltos

• Solucionado los problemas de carga útil en ciertas plataformas Android.
• Corregido el que los atajos de teclado anulasen ciertos campos de formulario.
• Arreglado un problema que impedía recoger información del sistema en ciertas sesiones Meterpreter.
• Solventado el problema que impedía que cadenas de tareas programadas se ejecutasen.

Para actualizar la versión Pro de Metasploit podéis usar el menú de administrador, eligiendo la opción ‘Software Upgrade’; aunque no está de más echar un vistazo al vídeo de cómo actualizar que encontraréis en la comunidad oficial de Metasploit.

Fuente:

http://openwebinars.net/metasploit-nuevas-amenazas/