Esta semana en seguridad: la solución de Miss Apache, acciones de Github (maliciosas) y disparos de Messenger

Apache 2.4.50 incluyó una solución para CVE-2021-41773. Desde entonces se ha descubierto que esta corrección estaba incompleta y esta versión es vulnerable a la permutación de la misma vulnerabilidad. 2.4.51 ya está disponible y debe corregirse adecuadamente por vulnerabilidad.

La operación original utilizada .%2e/ como la carga útil mágica que utiliza la codificación URL para robar el símbolo de punto adicional como parte de la ruta. La nueva solucion usos .%%32%65/. Esto parece un poco extraño, pero tiene sentido cuando lo descifras. La codificación de URL usa UTF-8, etc. %32 descifrar un 2, y %65 Alabama e. Lo sabías Sí, es solo la vulnerabilidad original con una segunda capa de codificación de URL. Esto tiene los mismos requisitos que la primera iteración, cgi-bin debe estar habilitado para la ejecución de código, y require all denied debe estar deshabilitado en los archivos de configuración.

Rompiendo Youtube con Super SloMo

[Florian Mathieu] jugó con mp4 muxing, y lo sorprendió con las complejidades de los sonidos y videos multicanal juntos. Tenía un video de diez segundos que se reproducía en solo ocho segundos. Esto fue extraño. El culpable fue el valor de escala de tiempo especificado en el encabezado mp4. El muxer con el que trabajaba ignoraba ese valor, provocando una reproducción inadecuada. Ahora bien, ¿qué pasaría si ese valor se estableciera en algo realmente extraño? Establecer un valor mucho más pequeño resultó en un archivo de 4 MB, que en realidad se reproduce durante 15 horas, en una tortuosa cámara lenta.

Tener un archivo tan extraño, ¿cuál es el siguiente paso lógico? Súbelo a YouTube, por supuesto. El proceso de codificación de YouTube se inició en el video durante unos días antes de expirar finalmente. ¿Es esto realmente una vulnerabilidad, podría preguntar? YouTube ha fallado la seguridad, donde deja de procesar un archivo si tarda demasiado. El equipo de seguridad de YouTube decidió no pagar una prima por el error, pero agregó [Florian] a su seguro Salón de la Fama. Todavía tengo que identificar un ataque práctico que use este error; incluso usándolo, sería difícil crear un ataque DoS que se acercara a los requisitos de tráfico y procesamiento de todo el uso y lo cargara en YouTube de inmediato.

Dev-0343

Las plataformas Office365 y Azure de Microsoft son una poderosa herramienta de análisis para rastrear la actividad maliciosa. En un nuevo informe, detallaron a un actor que descubrió cuentas y una contraseña masiva contra un fuerte grupo objetivo de víctimas: grupos como contratistas de defensa, operadores de puertos del Golfo Pérsico y proveedores de transporte de Oriente Medio. La teoría predominante es que este actor está asociado con Irán, pero los detalles son difíciles de revelar, ya que todos los ataques se realizaron sobre Tor. Dice que el tráfico es mucho mayor entre las 7:30 a. M. Y las 8:30 p. M., Hora local.

Aquí se aplican las precauciones de seguridad normales. No utilice contraseñas comprometidas y habilite la autenticación de dos factores. Microsoft también ofrece bloquear el tráfico de los servicios de anonimización conocidos; en otras palabras, bloquear los nodos salientes de Tor.

Secuestro de acciones de Github

Hace casi un mes, manejamos una falla en Github Actions, donde una simulación en el cordón podría permitir un comportamiento no intencional por parte del flujo de trabajo del punto de control. Bueno, hay más. Ahora bien, esta vulnerabilidad es tanto mejor como peor. Es más difícil de explotar porque está limitado a una cuenta de usuario con privilegios de escritura. Pero también es más ubicuo, ya que todas las organizaciones tienen Acciones habilitadas de forma predeterminada.

Cada usuario con permisos de escritura también tiene permiso para crear un nuevo flujo de trabajo. El proceso de creación de un flujo de trabajo también incluye la configuración de permisos para el personaje utilizado por ese flujo de trabajo. Y así, cualquier usuario con permiso por escrito puede tener permisos casi completos, incluidas las solicitudes de extracción de aprobación en ramas protegidas. Y para empeorar las cosas, el robot de acción cuenta como un usuario independiente, lo que significa que puede aprobar las solicitudes de extracción iniciadas por el usuario malintencionado.

La desventaja es que debe deshabilitar las acciones de Github en cualquier lugar donde no se use. Las ramas protegidas no son una solución a prueba de balas si las acciones están habilitadas. Parece ser un tema destacado en Github en este momento.

Disparando al mensajero

Y finalmente, en una historia increíblemente decepcionante, el gobernador de Missouri convocó a un periodista para una acusación de descubrimiento y responsabilidad que revela un flujo de información en un sitio web estatal. La falla en el sitio web del Departamento de Educación del Estado puede haber revelado los números de seguridad social de los maestros.

Como puedes anticipar, bastantes profesionales de la seguridad sonaron para apoyar al periodista. El sitio web vulnerable se eliminó antes de que se publicara el informe y no se reveló el daño exacto. La descripción más simple de la vulnerabilidad dice: "Aunque no había información privada claramente visible o que se pudiera buscar en ninguna página web, la revista encontró que los números de maestros del Seguro Social estaban contenidos en el código fuente HTML de las páginas en cuestión". Podría ser tan simple como parece que una búsqueda desencadenó una declaración SQL "SELECT *", y esos resultados se codificaron directamente como JSON en un script incrustado en la fuente de la página.

Ahora, para ser justos, podría ser que haya más en la historia. Es posible que haya habido una inyección de SQL o una manipulación de la solicitud que se abordó técnicamente en la historia. Dicho esto, amenazar con una demanda por lo que parece ser una divulgación de buena fe es un movimiento terrible. Si aparecen detalles más concretos, te informaremos.

Manuel Gómez
Manuel Gómez

Deja una respuesta

Tu dirección de correo electrónico no será publicada.