La Linux Foundation se ha visto obligada a detener el funcionamiento de sus principales sitios web para recuperarse de una intrusión informática que descubrió a mediados de la semana pasada.
"La infraestructura de Linux Foundation, incluyendo LinuxFoundation.org, Linux.com y sus subdominios, está desconectada por mantenimiento debido a una intrusión de seguridad descubierta el 8 de septiembre de 2011”, dice un mensaje publicado por Linux en la página principal de los sitios afectados, que ahora se encuentran inactivos.
Hace apenas tres semanas, kernel.org, la web del kernel Linux, sufrió un ataque de malware que afectó a sus servidores, que continúan inaccesibles y recibiendo mantenimiento. “Creemos que esta intrusión estuvo conectada con la de kernel.org”, dijo Linux refiriéndose al ataque reciente a Linux Foundation.
La Linux Foundation envió un mensaje de correo electrónico a todos sus usuarios la semana pasada advirtiéndoles que el atacante pudo haber robado los nombres de usuario, direcciones de correo y contraseñas de sus clientes, y les recomendó que cambiaran sus contraseñas para prevenir ataques dirigidos en los que los atacantes utilicen los datos comprometidos.
Todavía no se conocen los alcances de la amenaza, pero Linux está haciendo una auditoría de seguridad para averiguar cuán grave y extenso fue el ataque y comprobar su relación con la intrusión a kernel.org.
Nuestra reciente asesoramiento describe una vulnerabilidad de ASP.NET que fue recientemente informado de forma pública.Este blog te dará más información acerca de la vulnerabilidad y la solución. También proporcionará un guión que le ayudará a detectar las aplicaciones ASP.NET en el servidor que se encuentran en una configuración vulnerable.
El impacto de la vulnerabilidad
ASP.Net utiliza el cifrado para ocultar información sensible y lo protegen de la manipulación por parte del cliente. Sin embargo, una vulnerabilidad en la implementación del cifrado ASP.Net puede permitir a un atacante descifrar y manipular estos datos.
Pero, ¿qué puede hacer el atacante con esta capacidad? Parte de la respuesta depende de la aplicación ASP.Net ser atacados.Por ejemplo, si la aplicación ASP.Net almacena información confidencial, como contraseñas o las secuencias de bases de datos de conexión, en el objeto ViewState estos datos podrían estar en peligro. El objeto ViewState es encriptada y enviada al cliente en una variable de forma oculta, por lo que es un posible objetivo de este ataque.
Si la aplicación está utilizando ASP.Net ASP.Net 3.5 SP1 o superior, el atacante podría usar esta vulnerabilidad cifrado para solicitar el contenido de un archivo arbitrario dentro de la aplicación ASP.Net. La divulgación pública demostró con esta técnica para recuperar el contenido de web.config. Cualquier archivo en la aplicación ASP.Net que el proceso de trabajo tiene acceso a la voluntad de ser devuelto al atacante.
¿Cómo funciona la vulnerabilidad de ASP.NET?
Para entender cómo funciona esta vulnerabilidad, lo que necesita saber acerca de los oráculos criptográficos. Un oráculo en el contexto de la criptografía es un sistema que proporciona consejos a medida que lo preguntas. En este caso, existe una vulnerabilidad en ASP.Net que actúa como un oráculo de relleno. Esto permite a un atacante enviar mensajes de texto cifrado elegido para el servidor y saber si era descifrado correctamente por el examen que el código de error fue devuelto por el servidor.
Al hacer muchas peticiones, el atacante puede aprender lo suficiente para descifrar con éxito el resto del texto cifrado. El atacante puede alterar el texto y volver a cifrar también.
La solución para esta vulnerabilidad es utilizar la función de customErrors de ASP.NET para configurar las aplicaciones para devolver la página de error mismo, independientemente del error detectado en el servidor.
Siguiendo los pasos en el asesoramiento para asignar todos los mensajes de error a una página de error único, que hacen que sea difícil para el atacante de distinguir entre los diferentes tipos de errores, limitando el acceso al oráculo.
Cómo detectar vulnerables aplicaciones ASP.Net
Algunas aplicaciones ASP.Net ya se puede configurar para devolver la página de error igual para todos los errores de servidor.Para detectar aplicaciones ASP.Net que no están configurados de esta manera y necesitan tener la solución que se les aplica, use el siguiente script:
Nota: Después de instalar la actualización de seguridad MS10-070 , la solución ya no es necesario y no hay necesidad de ejecutar este script.
En este video, los investigadores Juliano Rizzo y Duong tailandés demostrar la técnica que ellos desarrollaron para robar las claves de cifrado para las aplicaciones Web ASP.NET, lo que les permite comprometer virtualmente cualquier aplicación basada en ASP.NET.
Usted puede leer la historia completa de su ataque en este artículo, Aqui
Hace apenas tres semanas, kernel.org, la web del kernel Linux, sufrió un ataque de malware que afectó a sus servidores, que continúan inaccesibles y recibiendo mantenimiento. “Creemos que esta intrusión estuvo conectada con la de kernel.org”, dijo Linux refiriéndose al ataque reciente a Linux Foundation.
