Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

* La primera vulnerabilidad está causada por un fallo en RequestDispatcher, lo que podría ser explotado por un atacante remoto por medio de una petición que incluyera un parámetro especialmente manipulado para acceder a contenido protegido (revelación de información).

* La segunda vulnerabilidad está causada porque el argumento de la llamada a HttpServletResponse.sendError() se muestra en la página de error y también en la respuesta HTTP. Éste argumento podría contener caracteres ilegales para la cabecera HTTP lo que podría permitir la inyección de código script en la respuesta HTTP.

Se recomienda actualizar a las últimas versiones no vulnerables, disponibles desde la web de Apache Tomcat:

http://tomcat.apache.org/

Más Información:

CVE-2008-1232: Apache Tomcat XSS vulnerability

http://www.securityfocus.com/archive/1/495021

CVE-2008-2370: Apache Tomcat information disclosure vulnerability

http://www.securityfocus.com/archive/1/495022

Laboratorio Hispasec
laboratorio@hispasec.com

Otros expertos confirman esta información, aunque con diferentes estimaciones en cuánto a cantidad de sitios afectados.

Todos los reportes coinciden en que los servidores comprometidos se ejecutan en Linux y utilizan Apache como software.

El exploit implica la inyección de un rootkit que sustituye múltiples archivos en el servidor. Los siguientes binarios parecen ser los comprometidos:

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

El rootkit renombra estos archivos, y los sustituye por versiones infectadas, quedando a la espera del próximo reinicio del servidor. Cuando ello ocurre, el rootkit llama a los binarios infectados.

El resultado, es que ciertos archivos en el servidor quedarán ocultos, y un código en JavaScript será enviado a los visitantes del sitio.

El código en JavaScript es creado de forma dinámica, y suele tener un nombre al azar de cinco caracteres (Ej: ‘cbolw.js’). Ello no ocurre en todas las sesiones, haciendo más difícil su identificación.

El JavaScript intenta explotar múltiples vulnerabilidades en Windows, QuickTime y Yahoo! Messenger. Son afectados aquellos usuarios que no han aplicado las últimas actualizaciones de Microsoft, ni tienen las últimas versiones del software involucrado.

Mark Cox del equipo de seguridad de Apache Software Foundation, dice que no hay detalles precisos sobre como los atacantes pueden obtener acceso de root a los servidores comprometidos, “además de que no hay evidencias que este ataque se deba a alguna vulnerabilidad no corregida en el servidor Apache.”

Una misma opinión parece tener Red Hat, el mayor proveedor de Linux. “En este momento, no hemos tenido acceso a todos los equipos afectados, y por lo tanto, no podemos dar una orientación sobre las herramientas que puedan detectar al rootkit.”

Los fabricantes de cPanel, una popular herramienta utilizada por las empresas de alojamiento web que permite a sus clientes administrar sus sitios, ha publicado una nota de seguridad describiendo lo que el rootkit hace después de instalado, y sugiere algunos procedimientos para comprobar si un servidor está comprometido.

Según cPanel, si no se puede crear un directorio cuyo nombre comience por un número, es probable que su sitio esté infectado.

Otras técnicas son descriptas en el siguiente enlace:

Random JS Toolkit

http://www.cpanel.net/security/notes/random_js_toolkit.html

Uno de los mayores misterios hasta el momento, es como llegó el rootkit a los servidores infectados. En ausencia de cualquier evidencia forense sobre los allanamientos, lo más lógico sería pensar que los autores del malware consiguieron acceder a los servidores utilizando contraseñas de root robadas.

Las primeras víctimas conocidas, de acuerdo a información publicada anteriormente, fueron los sitios de alojamiento web administrados por grandes empresas, los que dan acceso a miles de sitios Web, los cuáles a su vez, son visitados por cientos de miles de navegantes diariamente.

Los usuarios que mantengan su software actualizado (incluyendo el sistema operativo), tienen menos probabilidades de convertirse en víctimas.

Más información:

Finjan Uncovers Insidious New Variant of Crimeware Toolkit
Infecting More Than 10,000 US Websites in December

http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820

Random JS Toolkit

http://www.cpanel.net/security/notes/random_js_toolkit.html

Mystery infestation strikes Linux/Apache Web sites

http://www.linux.com/feature/125548

Relacionados:

El 80% de los sitios maliciosos son legítimos

http://www.vsantivirus.com/24-01-08.htm

Extraña infección masiva causa gran cantidad de tráfico

http://www.vsantivirus.com/15-01-08.htm

ESET informa sobre la aparición de miles de sitios con scripts dañinos para propagar malware

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1199823658&n=2

¿Actualizar o no actualizar?

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=943

Masivo ataques a sitios web

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=941

Nuwar con amor

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200583897&n=2

Malware simula ser Flash Player

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200095656&n=2

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

El fallo se da en el módulo mod_negotiation, que no filtra correctamente código HTML de nombres antes de mostrar la entrada como parte de un mensaje HTTP 406 (Not Accesptable) o como parte del mensaje HTTP 300 (Multiple Choices). Si un atacante pudiese controlar un nombre de fichero en el sistema Apache, y el visitante visitara una URL especialmente manipulada que apuntara a él, se podría ejecutar código HTML y Script en el navegador del usuario en el contexto de la página afectada.

No existe parche oficial. Se recomienda deshabilitar el módulo implicado si no se utiliza o deshabilitar el tipo de respuesta implicado.

Más Información:

Apache mod_negotiation Input Validation Hole Permits Cross-Site Scripting Attacks

http://www.securitytracker.com/alerts/2008/Jan/1019256.html

Laboratorio Hispasec
laboratorio@hispasec.com

La primera vulnerabilidad está causada por un error de validación de entrada en el módulo mod_status al mostrar las páginas de estatus, lo que podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el contexto de seguridad del usuario que visita la página afectada. La opción no está activada por defecto.

La segunda vulnerabilidad está causada por otro error de validación de entrada en el módulo mod_proxy_balancer al procesar y mostrar los datos introducidos, con el mismo efecto que la anterior.

La tercera vulnerabilidad se debe a un error también en el módulo mod_proxy_balancer, pero ésta vez al manejar peticiones especialmente manipuladas que hacen uso de un módulo multiproceso con threads. Esto podría ser explotado por un atacante remoto para hacer que el proceso hijo afectado dejara de responder, causando así una denegación de servicio.

En las versiones en desarrollo publicadas, además se han subsanado otros problemas reconocidos con anterioridad por la Fundación Apache, que afectan a módulos como mod_imagemap y mod_imap.

Los fallos están corregidos en las versiones de las ramas en desarrollo 1.3.40-dev, 2.0.62-dev y 2.2.7-dev, disponibles desde:

http://httpd.apache.org/download.cgi

Más Información:

Apache httpd 1.3 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.0 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_20.html

Apache httpd 2.2 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_22.html

Pablo Molina
pmolina@hispasec.com

Sergio de los Santos
ssantos@hispasec.com

* La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código JavaScript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública.

La vulnerabilidad está confirmada para las versiones 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 y 1.3.02.2.6. También está confirmada para las versiones 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0.

Se recomienda actualizar a la versiones de desarrollo 1.3.40-dev o 2.2.7-dev, donde se han subsanado los problemas de seguridad. Están disponibles desde:

http://httpd.apache.org/download.cgi

Más Información:

Apache httpd 1.3 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.2 vulnerabilities

http://httpd.apache.org/security/vulnerabilities_22.html

Laboratorio Hispasec
laboratorio@hispasec.com

Apache es un servidor HTTP de código abierto, seguro, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

Las vulnerabilidades corregidas podían ser aprovechadas por atacantes para comprometer un sistema vulnerable, realizar ataques por cross site scripting, causar denegaciones de servicio o para revelar información del sistema a través de mod_proxy, mod_cache, mod_mem_cache y mod_status.

Las versiones 2.0.61 y 2.2.6 están disponibles para su descarga desde:

http://httpd.apache.org/download.cgi

Más Información:

Apache HTTP Server 2.2.6 Released

http://www.apache.org/dist/httpd/Announcement2.2.html

Apache HTTP Server 2.0.61 Released

http://www.apache.org/dist/httpd/Announcement2.0.html

Fuente:
Laboratorio Hispasec
laboratorio@hispasec.com

Más información y descargas a partir de los enlaces que os proporcionamos a continuación.

http://httpd.apache.org/download.cgi

http://www.apache.org/dist/httpd/Announcement2.2.html

Fuente: Hispamp3.com

El primero de los problemas se refiere a una pérdida de memoria en el
tratamiento de cabeceras http que puede llevar a un ataque de denegación
de servicio debido a un excesivo consumo de memoria. Este problema ya
fue tratado por Hispasec en un boletín recientemente publicado.

La segunda vulnerabilidad corregida se trata de un desbordamiento de
búfer en mod_ssl en el código FakeBasicAuth de un certificado cliente
(confiable) con el argumento DN que exceda los 6K de tamaño. Al igual
que el problema anterior, este fallo también fue tratado en una-al-día
a finales del mes de mayo.

Esta versión es compatible con los módulos compilados para las versiones
2.0.42 y posteriroes. Se recomienda a los administradores de Apache la
actualización a esta nueva versión.

Apache HTTP Server 2.0.50 está disponible en:

http://httpd.apache.org/download.cgi

Más Información:

una-al-dia (27/06/2004) Denegación de servicio en Apache 2.0.x

http://www.hispasec.com/unaaldia/2072

DoS in apache httpd 2.0.49, yet still apache much better than windows
http://www.guninski.com/httpd1.html

Apache HTTP Server 2.0.50 Released

http://www.apache.org/dist/httpd/Announcement2.html

una-al-dia (30/05/2004) Desbordamiento de búfer en mod_ssl 2.x para Apache 1 y 2

http://www.hispasec.com/unaaldia/2044

Antonio Ropero
antonior@hispasec.com

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare. En Octubre de 2003, Apache constituía
más del 66% de los servidores web de Internet.

Las versiones no actualizadas de Apache contienen las siguientes
vulnerabilidades:

* Un atacante puede ocasionar la caída del servidor Apache y, bajo
ciertas circunstancias, la ejecución de código arbitrario con sus
privilegios. Para que el ataque sea factible, el fichero de
configuración Apache debe contener expresiones regulares con más de
nueve “capturas”. El problema reside en varios desbordamientos de búfer
en los módulos “mod_alias” y “mod_rewrite”. Esta vulnerabilidad afecta a
las versiones de Apache previas a 1.3.29 y 2.0.48.

* Bajo ciertas circunstancias, es posible que Apache envíe los datos de
un proceso CGI a un cliente equivocado. Esta vulnerabilidad afecta a las
versiones de Apache previas a la 2.0.48.

La recomendación de Hispasec Sistemas es actualizar sus instalaciones
Apache a 1.3.29 o 2.0.48. Aparte de las vulnerabilidades citadas, las
nuevas versiones de Apache solucionan numerosos “bugs” menores.

Más Información:

Apache HTTP Server 1.3.29 Released

http://apache.slashdot.org/article.pl?sid=03/10/29/0720209

Changes with Apache 1.3.29

http://www.apache.org/dist/httpd/CHANGES_1.3

Apache 2.0.48 Released

http://apache.slashdot.org/article.pl?sid=03/11/01/2225252

Apache HTTP Server 2.0.48 Released

http://www.apache.org/dist/httpd/Announcement2.html

Apache

http://httpd.apache.org/

Multiple stack-based buffer overflows in (1) mod_alias and (2)
mod_rewrite for Apache before 1.3.29 allow attackers to can create
configuration files to cause a denial of service (crash) or execute
arbitrary code via a regular expression with more than 9 captures.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0542

mod_cgid in Apache before 2.0.48, when using a threaded MPM, does not
properly handle CGI redirect paths, which could cause Apache to send the
output of a CGI program to the wrong client.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0789

Jesús Cea Avión
jcea@hispasec.com

http://www.apache.org/dist/httpd/Announcement2.html

, la disponibilidad de
la versión 2.0.47 del servidor web Apache.

La citada nueva versión se publica, principalmente, para corregir cuatro
vulnerabilidades. La primera de ellas reside en determinadas secuencias de
renegociaciones per-directory, cuando se usa la directiva SSLCipherSuite
para actualizar desde una suite de cifrado débil a una fuerte. En la
práctica, este problema conlleva la utilización del cifrado débil, en lugar
del fuerte.

El origen de las otras tres vulnerabilidades del servidor web Apache, que
posibilitan situaciones de denegación de servicio, se especifica a
continuación.

- Error en el prefork MPM.

- Intento de acceso a un sistema IPv6, aunque el servidor proxy ftp no puede
crear sockets IPv6.

- Bucle infinito debido a múltiples redirecciones internas.

La nueva versión del servidor web Apache se encuentra disponible en:

http://httpd.apache.org/download.cgi