g30rg3 Blog

Que mas se puede decir, ya son 4 señores, ya son 4… ya hasta pena me da decirles algo…

Bueno aunque llego muy cansado de una extra jornada laboral ayudando a mi familia (en el por supuesto negocio familiar) y a pesar que el tiempo que tengo para estar online lo iba realmente a destinar para darle reto hacking 6 del buen chema (el cual me inscribí y le di su miradita rápida ayer por la noche) pues lo decidí gastar en esta entrada.

Realmente me es extraño ver que nadie ha estado escribiendo sus notas alarmistas normales sobre el bug/vulnerabilidad, sobre todo cierto blog dedicado a la seguridad en blogs (me reservo el derecho de nombrarlo), pero en fin para no hacerla larga (como dije ando cansado) se ha descubierto un nuevo bug bajo el script que maneja el protocolo XML-RPC en WordPress, el cual permite que usuarios con pocos privilegios (suscriptores) cambiar el contenido de las entradas publicadas, aunque según los que la han podido probar, aunque si se logran editar las entradas estas quedan como borradores.
Como de seguro ya notaron se requiere que el blog permita el registro de usuarios para obtener una cuenta de suscriptor y así explotar la vulnerabilidad algo que muy pocos blogs practican (el único blog cercano que conozco que tiene permitido esto es el del michoacano -juaxors es su oportunidad, denle con todo a la michoaketa/julio -) así que tampoco es una alarma grande pero si digamos es de los primeros bugs de seguridad que veo en la rama 2.3.x que tienen un poco de seriedad.

Las soluciones ya han sido dadas así que para los que las buscan aquí les dejo las ligas:
Archivo de Diferencias (diff)
Archivo Pre-Parcheado

Pueden encontrar mas información sobre la vulnerabilidad en:
http://trac.wordpress.org/ticket/5313
http://www.theseekerblog.com/?p=284
http://www.village-idiot.org/archives/2008/02/02/wordpress-232-exploit-confirmed/

Ya ha salido la primera versión “estable” de este CMS…
Como saben les he venido hablando recientemente en algunas de las entradas anteriores sobre este CMS creado originalmente por J. Carlos Nieto aka xiam, CMS que he venido siguiendo y viendo su evolución desde que era una alpha o mas bien un copy&paste de Gekko y claro al enterarme (a través del blog de nekro) de que hoy mismo ha salido la primera versión publica “estable”, me hes grato anunciarles a ustedes también sobre esta misma.

Dentro de poco le daré otra revisada (instalada) en mis maquinas y servidores locales para hacerle ese review que prometí, de una vez aviso que el review que voy a ser no va tener por ningún motivo peso en la usabilidad ni lo bonito que sea vea, si no que voy a tomar en cuenta limpieza de código y rapidez (velocidad y gasto de memoria) del mismo.

Para conocer mas sobre este proyecto visiten su(s) pagina(s) principal en:
http://www.textmotion.org/
http://www.textmotion.net/

Y Su sitio (svn, wiki, bugtrack, etc..) en Code Google:
http://code.google.com/p/textmotion/

Introducción
He encontrado una vulnerabilidad bajo el plugin “Dean’s Permalinks Migration” en su version 1.0, esta vulnerabilidad la encontré mientras trabaja para poner el ya mencionado plugin en este sitio para mudar mis permalinks que usaban fechas y el titulo a los que solo usan el titulo.

Explicación
Debido a la falta de sanitización de la variable: “dean_pm_config['oldstructure']” es posible inyectar código malicioso (XSS), aunque esta cuenta con unos filtros estos no están ni por un poco preparados para sanitizar de manera adecuada la información que se piensa guardar, lo cual nos lleva a la posibilidad de inyectar código malicioso (XSS) dentro de esta misma.
Sin embargo para que esto funcione se requiere que el usuario inyecte el código malicioso (XSS), lo cual se puede lograr diseñando una pagina maliciosa para hacer que el usuario realice esta acción sin darse darse cuenta (XSRF) el cual es posible debido a que el plugin no hace uso de las funciones para proteger formularios incluidas en WordPress (WP-Nonces).

Prueba de Concepto
Desarrolle una pequeña pero eficaz prueba de concepto la cual demostrara este incidente, obviamente se requiere que al visitar esta pagina la “victima” este previamente identificada en su blog.
Pueden descargar esta misma dando clic aquí o bien en la sección de Descargas de este blog.

Solución
Debido a que no logre contactar al autor del plugin decidi elaborar mi propia solución al problema, lo cual me obligo a sacar una sub-versión de la original la que enumere como 1.1-gx (agregando el sufijo gx -al estilo de los creadores de parches del Linux Kernel- para indicar que es mi propia versión o bien mi propio fork) la cual agrega las protecciones contra la vulnerabilidad encontrada, repara algunos bugs de estilo y aplica algunos de los estándares de codificación sugeridos por los desarrolladores de WordPress.
Como siempre se les recuerde que esta solución es no-oficial y se pide que la desechen en el caso de salir una oficial.
Pueden descargar esta misma dando clic aquí o bien en la sección de Descargas de este blog.

Durante las cortas pero agradables vagaciones (no esta mal escrito, así me gusta decirles a las vacaciones) de invierno en México que solemos pasarnos (casi todos en un ambiente muy familiar) para celebrar la tan comercializada navidad así como el inesperado pero inminente año nuevo, me sucedió una de mis pequeñas aventuras de juakeritos, aunque casi siempre y conforme avanza mi edad me topo mas seguido con estas situaciones son muy pocas las que dejan esa pequeña pero significativa huella mental.

Pero bueno adentrémonos en el ambiente estamos a día 27 de Diciembre del año 2007, como todo buen geek carga con su pc portátil o bien laptop ya sea para controlar su adicción a las PCs o por necesidades de trabajo en mi caso es por el famoso temor a que te la roben al pasar mucho tiempo fuera de casa, ya que aunque muchos no lo crean mi adicción esta bastante controlada pero bueno siguiendo con la historia como saben y anuncie hace mas o menos 1 mes, me he ofrecido así como al mismo tiempo asignado la tarea de ser el Sys-Admin de Yashira, tarea no fácil pero tampoco muy difícil solo es trabajosa ya que al ser un torneo/wargame el cual su principal tema es la Seguridad informática, nunca falta el chistoso que quiere irse mas halla y tratar de poner en vergüenza a los administradores, obviamente después de varios días sin entrar a ver el servidor uno sospecha desgracias (ya que para las mismas fechas ocurrió un pequeño incidente con un pseudo-hacker) y al no contar con un servicio de conexión a Internet portátil (estilo BAM) y debido a mi excesiva desconfianza por los cyber-cafes, loguearme al servidor y administrarlo desde uno de estos no era una opción viable, tampoco era opción ir cargando mi laptop hasta la casa de algún familiar con conexión a Internet el cual me preste un poco de su ancho de banda por unos cuantos minutos, ya que principalmente no quería que nadie supiera que traje mi laptop y claro por la flojera de estarla cargando de un lado a otro, esto me llevo a pensar en mis opciones…

Era obvio que crackear las redes inalámbricas cercanas era la opción mas viable y al momento única que se me ocurrió y que de seguro a ustedes también, sin embargo descarte también esta opción ya que mi laptop no contenía ese tipo de herramientas (ya que no me dedico a esto y tampoco es de mi agrado) necesarias para llevar acabo el proceso de crackeo de estas, pero bueno que tiene de chiste hablar si no hay redes inalámbricas cercanas… con una simple prueba de ir rondando por toda la casa donde estaba pude encontrar al menos 5 redes inlámbricas, 3 de estas pertenecían a comercios, 1 pertenecía a una red con una señal bastante fuerte de un hotel un poco alejado y claro la que falta era del pequeño cyber-cafe (alrededor de 9 maquinas) del que desconfiaba.
Dando un paseo mas de cerca por el cyber me encontré con que toda la red estaba basada en un simple switch de 10 puertos y uno de los modems de esos blancos 2wire (2701HG-T) que telmex te “presta” para que puedas establecer la conexión aDSL, sin duda al ver esto mi mente hizo una rápida construcción y se la acordó aquella nota escrita en noviembre en el blog del buen Masiosare donde exponía que muchos grupos de pharming y clanes de malware están usando una vulnerabilidad que permite agregar rutas DNS estáticas al modem, para el caso de la nota estas mismas se usaban para poder falsificar mejor el portal de la banca electrónica de Banamex…

Rápidamente saque de la bolsa unos pesos y pague 30 minutos de navegación; como sabrán lo primero que hice fue hacer búsquedas sobre esta vulnerabilidad lo que me llevo rápidamente al blog de Javier Liendo (fue una extraña forma de conocer otro buen blog pero al fin y al cabo encontré otro blogger interesado en los temas de seguridad informática y mexicano ) el cual expone en una nota que a través de una “URL Mágica” podíamos cambiar así como observar varios parámetros, mientras que varios de los que comentaban por ahí también dejaban pistas en la entrada no servia de mucho y como decían por ahí era puro “supositorio”, sin embargo esto me abrió la puerta a hacer búsquedas mas refinadas lo cual obviamente me llevo a la pagina del Departamento de Seguridad en Computo de la UNAM donde habia una nota sobre esta vulnerabilidad, claramente explicada y con todo e imágenes sobre el correo phising de alguno de los grupos de pharming que la están aprovechando.
La vulnerabilidad consistía en un fallo del asistente de configuración que esta embebido dentro de los modems 2Wire, ya que estos permitían sobrescribir ciertos parámetros (como lo es la clave de acceso al mismo) del mismo modem sin pedir una autorización previa, en pocas palabras solo bastaba armar bien la “URL Mágica” para obtener acceso al modem con privilegios de administrador.

Ya con la idea de que es y que se tenia que hacer, simplemente tome uno de los ejemplos y lo use cambiando a los valores que considere necesario, para los que quieren saber la “URL Mágica”:

http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=
[Contraseña]&PASSWORD_CONF=[Contraseña]&HINT=[Recordatorio]

Como pueden observar basta con cambiar [Contraseña] por la contraseña que queremos que tenga el Modem y el [Recordatorio] por el que queramos…
Y bueno después de ejecutarlo ya tenia acceso a la consola de administración y diagnósticos con lo cual como podrán imaginar solo me basto ir a la sección de configuración de la red inalámbrica, cambiar la contraseña de acceso al mismo y de paso cambiar algunos valores para otorgarle mejor calidad a la señal como fueron cambiar el canal, etc…, todo esto en un tiempo alrededor de 20 a 25 minutos, aunque la verdad perdí mucho tiempo entreteniéndome con varias notas del blog de Javier Liendo…
Como de seguro ya sabrán, después solo era cuestión ir por mi laptop, poner la misma en un punto donde capte mejor la señal, configurar la red y listo tenia acceso a Internet totalmente gratis, esto me dio chance de realizar mi labor de administración remota del servidor de Yashira y seguir tranquilo con las demás fiestas decembrinas…

En fin como pudieron leer, esta es otra forma de obtener redes inalámbricas sin necesidad de estar de crackeador de redes y rezando por tener un numero bueno de IV’s y todo esto gracias a que muchos cyber-cafes ahorran costos de instalación y en pago por equipos especializados, lo mas gracioso es que esta misma técnica/vulnerabilidad se la menciona a una persona conocida y no pasaron ni dos días para que me muestre un mapa de toda una ruta de cyber-cafes por los alrededores de su casa donde había hecho lo mismo y ahora gozaba de Internet inalámbrico en diferentes puntos y hasta inclusive cerca de la universidad donde estudia.
Aunque claro el principal uso de esta técnica/vulnerabilidad en el “mundo salvaje” conocido como Internet es el Drive-By-Pharming bien se puede usar para resolver o bien crear otros problemas como en este caso “Elevarse Privilegios” y así obtener control total de la red hogareña, comercial y tal vez alguna que otra empresarial.

Llegando a la conclusión de esta historia…
Como se pudo hacer notar usar estos pequeños modems enmascaradores (como el buen David aka last dragon explico de manera exhaustiva) no son la solución mas profesional, desde mi punto de vista persona sera muy difícil que realmente salga alguna actualización para esta vulnerabilidad aunque quien sabe la reciente presión hecha por varias empresas, usuarios hogareños enterados de la misma así como diferentes grupos dedicados a la creación de malware aprovechándose de esta misma tal vez haga que telmex haga mas presión para que 2wire lanze algún tipo de actualización de emergencia.
Por ahora son muchos los que tienen y basan las mayorías de sus redes hogareñas en este modem lleno de bugs, no hay al momento alguna solución viable, yo realmente sugiero lo básico que es cuidarse de navegar en sitios desconocidos y que claro provengan de enlaces en tu correo electrónico y para los que usen firefox añadirle NoScript es una buena opcion, que si bien no podrá detener la mayoría de los ataques si se muestra bastante fuerte contra los ataques mas comunes.

Sin mas que añadir espero les halla gustado un poco esta pequeñísima anécdota sobre como pude obtener acceso a Internet gratis durante estas vagaciones de invierno usando una vulnerabilidad en los modems 2wire, 5 pesos y un cyber-cafe que basaba toda su red en uno de estos cacharros…

Hasta la proxima…