Category Archives: Various

CVE-2010-3552 ou l’absurdité de la divulgation responsable et de la négligence caractérisée

Various,

Chers lecteurs ZATAZ, vous être près de 84% d’entre-vous ayant le support Java d’activé sur vos navigateurs Internet, l’avez-vous mis à jour dernièrement ? Si non, vous risquez de voir vos ordinateurs se transformer en passerelles à pirates informatique. Si oui, vous pensez être protégé, mais que neni, une nouvelle vulnérabilité, un nouveau “0day” est sûrement déjà en cours d’exploitation.

Chers lecteurs ZATAZ résidants en France, savez-vous que depuis l’activation de Hadopi, vous êtes tenus à une obligation de démontrer comme quoi vous avez mis tous les moyens en oeuvre pour vous protéger au cas ou vous sauriez soupçonné d’enfreinte au code de la propriété intellectuelle. Donc de façon claire, vous devez connaître vos faiblesses, vos vulnérabilité et démontrer que vous avez mis les moyens en oeuvre pour y remédier.

Ci-dessous une petite anecdote qui démontre l’absurdité de mettre la responsabilité de sécurisation sur l’internaute lambda qui ne connait rien à l’informatique, qui ne connait pas grand chose d’Internet, sauf Facebook (parce que les copains y sont), Twitter et Youtube. Qui démontre l’absurdité de la relation “déontologique” entre les professionnels de la sécurité informatique et les fournisseurs finaux. Qui démontre le peu de prise en compte des risques légaux que vous encourez en tant qu’internaute lambda par les fournisseurs finaux.

Le 20 Juillet 2010, ZDI (Zero Day Initiative) a rapporté une vulnérabilité dans Java Runtime Environment (JRE) à l’éditeur Oracle. ZDI joue, la plupart du temps, l’intermédiaire entre le chercheur en sécurité informatique qui a découvert la vulnérabilité et le fournisseur final de l’application vulnérable. Ce rôle d’intermédiaire est important pour la suite de cet article.

Cette vulnérabilité n’était bien sûr pas dévoilée au public, afin de laisser le temps au fournisseur de régler la situation (principe déontologique). Le 12 Octobre, près de trois mois après cette notification, une mise à jour est fournie par Oracle (SUN Java 6 Update 22) et la vulnérabilité est dévoilée au grand public (enfin dans un langage de spécialistes…) sous l’acronyme CVE-2010-3552.

Ce que l’on peut apprendre du bulletin de notification “ZDI-10-206” est que ZDI, et Oracle, créditent “Stephen Fewer” de l’entreprise “Harmony Security” pour la découverte. Cette vulnérabilité pourrait permettre à des internautes malveillants d’exécuter du code arbitraire sur les ordinateurs où les versions vulnérables de Oracle JRE sont installées. La seule interaction requise, pour l’exploitation de la vulnérabilité, est que l’internaute cible surfe sur un site web malveillant. Le nom de la DLL (JP2IEXP.dll), ainsi que quelques détails sur les parties de codes affectés sont fournis, mais sans plus de détails.

Ce qui est intéressant dans cette histoire, et ce qui s’est déjà vu plusieurs fois, c’est qu’un autre chercheur en sécurité informatique, Berend-Jan Wever, aurait lui aussi découvert la même vulnérabilité, mais le 31 Août 2010, alors que la vulnérabilité n’était pas encore dévoilée publiquement. Ce chercheur en sécurité informatique fournissait beaucoup plus de détails, comme la version vulnérable (SUN Java 6 Update 21, qui était alors la dernière version disponible), ainsi qu’un PoC (Proof of Concept) permettant de reproduire la vulnérabilité.

Il aura fallu peu de temps après la révélation au grand public de cette vulnérabilité, pour que l’équipe Rapid7 industrialise cette vulnérabilité, le 25 Octobre, en l’intégrant à sa suite gratuite de “pen-test” Metasploit. L’exploitation de cette vulnérabilité en devenait alors d’autant plus simple et permettait à peu près à n’importe quel internaute de prendre la main sur l’ordinateur de son voisin. Ci-dessous une petite vidéo réalisée maison pour vous démontrer la facilité d’exploitation de cette vulnérabilité.

Donc, la vulnérabilité a été dévoilée au fournisseur le 20 Juillet par un premier chercheur, un deuxième chercheur découvre la même vulnérabilité le 30 Août, et le fournisseur propose une mise à jour pour combler la vulnérabilité le 12 Octobre, soit près de trois mois après sa “première” découverte ! Il est classique dans le monde de la recherche en sécurité informatique de laisser le temps au fournisseur de corriger la vulnérabilité (principe déontologique), mais pendant ce temps là les internautes comme vous et moi, pouvons être les victimes de ce qui est appelée communément un “0day” (d’ailleurs qui n’en est plus un, car connu par le fournisseur) exploité par le crime organisé sévissant sur Internet.

Deux chercheurs qui trouvent en si peu de temps d’intervalle la même vulnérabilité, ne pensez-vous pas que d’autres “chercheurs”, moins respectueux des bonnes pratiques du “monde professionnel” de la sécurité informatique, aient aussi pu trouver cette même vulnérabilité ?

La pression légale augmentant au jour le jour contre les internautes, pour que ceux-ci démontrent qu’ils se protègent, en vain, fait que le système “déontologique” actuel est voué à mourir. Une nouvelle relation entre les chercheurs en sécurité informatique et les fournisseurs doit s’établir, une nouvelle relation entre le fournisseur et le consommateur final doit naître.

EDB-ID-15130 : Barracuda Networks Spam & Virus Firewall LFI extended to more products

Various,

The 10/09/2010, Tiago Ferreira, submitted a new HTTP scanner auxiliary module to the Metasploit team, “barracuda_directory_traversal“, how was added in the Metasploit Framework SVN.

Interested by this new scanner, I decided to take a look on the initial linked references (OSVDB 68301 / SA41609 / EDB-ID 15130).

At this time EDB-ID 15130 was the initial reference, with 27/09/2010 as creation date, and the associated 0day only mention “Barracuda Networks  Spam & Virus Firewall version 4.1.1.021” as affected product. Today it is still the case. Secunia Advisory was created the 01/10/2010, and only mentioned the same product as the EDB-ID. OSVDB reference was created the 03/10/2010, and same as the other references only mentioned the same affected product.

I decided to test the vulnerability, but first of all I had to find some vulnerable targets. For this purpose SHODAN was the key for my searches. Just type “barracuda” in the SHODAN search engine and you will find hundreds of results.

Directly with SHODAN result i saw different Barracuda fingerprints :

  • Barracuda Link Balancer
  • Barracuda Load Balancer
  • Barracuda Spam Firewall
  • Barracuda Spam & Virus Firewall
  • etc.

To see the scanner in action I tested, with Metasploit, all IPs of the “Barracuda Spam & Firewall” fingerprint. Evidence are clear, more than 90% of the targets where vulnerable. Intrigued by the others fingerprints, I decided to test the exploit by hand, not with Metasploit, on “normally non vulnerable” products. I was surprised when i saw that these products where also vulnerable to this vulnerability. Decided, then, to test it with Metasploit. But the tool returned me that the products where not vulnerables.

Something was wrong with the Metasploit scanner, and/or something was wrong with the references.

In order to improve Metasploit, a tool I love, i opened an issue for the Metasploit team, and decided to find the real reason on these differences.

Here under is the final word of the story.

ShadowHatesYou submitted the 0day to Exploit DB the 27/09/2010, but 28/09/2010 Barracuda has release a security update for most of they products. This discovery was credited to “Randy Janinda” and “Sanjeev Sinha” by Barracuda. The affected products were :

  • Barracuda IM Firewall 3.4.01.004 and earlier
  • Barracuda Link Balancer 2.1.1.010 and earlier
  • Barracuda Load Balancer 3.3.1.005 and earlier
  • Barracuda Message Archiver 2.2.1.005 and earlier
  • Barracuda Spam & Virus Firewall 4.1.2.006 and earlier
  • Barracuda SSL VPN 1.7.2.004 and earlier
  • Barracuda Web Application Firewall 7.4.0.022 and earlier
  • Barracuda Web Filter 4.3.0.013 and earlier

Just take a look on the day between the 0day and the Barracuda security advisory, is there any relation ship between ShadowHatesYou and the 2 credited guys? Also the initial affected product version was 4.1.1.021, but as described by Barracuda the upper affected version was 4.1.2.006. So ShadowHatesYou wasn’t aware that more products and upper versions where affected.

So after these Metasploit issue updates, OSVDB and Secunia have update they’re references for all Barracuda affected products and versions.

Now, after the extension of this vulnerability to more products, you have, in the wild wild Internet, thousands of Barracuda vulnerable products, how permit to a bad guy to take a complete control on the administration interface (to create firewall rules in order to access to the internal network, to route the internal network to a malicious target, etc, etc). These affected networks could be considered as completely compromised.

Webs.com Botnet Activities

Security visualization, Various

Webs.com is a Web hoster how permit his users to create a personal, group, or small business website for free. Webs.com is also providing a free subdomain for each created account (ex : http://yourname.webs.com).

Since the start of our HoneyNet in February 2009 we have directly observe that some malware’s where located on Webs.com how participate actively to a bonnet construction and propagation.

Webs.com server, how is hosting the malware’s, has the IP 216.52.115.50. Since February 2009 to end August 2010, Webs.com botnet is composed of few different malware hoisters, has generate 2 978 events and 70 attackers have call the botnet files located on the hoster servers.

US, Germany and Colombia are the countries how are the most participating to the botnet activity in term of events. US and China are the countries how are hosting part of the botnet since more than 100 days.

August 2010 was the more active month in term of events, March 2010 the month with the most distinct attackers. February and April 2010 the months with the most detected hosters.
Since Jun 2010 we can see that the activity of the botnet is increasing drastically.
Interesting point the Webs.com, FileAve.com, the Kortech.cn and the Interfree.it botnets are linked together between some few hosters. Just check the available Afterglow visualization of the interaction between the botnets.
I have generate some stats and graphs, with all the associated raw datas, how are available here.

Some videos of DLL Hijacking exploitation with Metasploit

Various, , , , , ,

Didn’t have time in August (holidays) to write a complete blog posts on the DLL Hijacking thing. So I only did some YouTube videos, how explain better the dangerousity of this flaw. But what is interesting in this story, is the “Acros” position on the HDMoore proposed coordinate disclosure process and the collision between security researchers on the same vulnerability without knowing that they are working on the same thing but thousand of milles away from each other.

[youtube DjewBjJR0HA]

[youtube gtLTUZvOYc0]

[youtube EeztydiJTeU]

[youtube O_bX0I9hF1s]