0-day en mod_reno

Hoy ha salido a la luz que un grupo de hackers bastante activo por estas fechas, autodenominado The Three Kings (T3K) ha descubierto una grave vulnerabilidad en el módulo de Apache mod_reno, ampliamente utilizado en los servidores web que conforman la red SANTANet. Este bug permite la ejecución remota de código en el servidor, vulnerabilidad que no tiene exploit publicado aún y que ha sido aprovechada por T3K en los últimos días para atacar a las máquinas de esta red.

El problema está aparentemente en la función rudolf(), encargada de insertar en el sistema las peticiones que los niños realizan a través de los webservices que SANTANet exporta a Internet; dicha función no comprueba la longitud de la petición antes de insertarla, por lo que las peticiones muy grandes pueden causar un desbordamiento de buffer:

    void rudolf (char *wish){
    char toy[4096];
    ...
    strcpy(toy,wish);
    insert(toy);
    ...
    }

Al parecer, el grupo T3K ha aprovechado esta vulnerabilidad para robar la base de datos que hospedaba el servidor y que contenía las peticiones de todos los niños junto a sus nombres y direcciones; además, han dejado un mensaje en la web principal de SANTANet en el que se podía leer “Si en Texas no corren delante de los toros con un pañuelo rojo en el cuello y en Nueva York no hay verbenas el 15 de agosto…¿qué narices pinta Papá Noel en Cuenca?”.

En declaraciones a Security Art Work, los responsables técnicos de SANTANet han negado el robo de datos, a pesar de que la relación de peticiones registradas ya ha sido publicada en Pastebin y según han confirmado muchos niños en Tuenti, parece real. “No tenemos ningún problema de seguridad identificado. Ejecutamos SANTA contra nuestros servidores regularmente, estamos suscritos a los principales grupos de seguridad en las news y nuestras webs están hospedadas en GeoCities. Además, para evitar problemas tenemos también colgado el banner de Free Kevin…”. Al preguntarles sobre los datos pastebineados, sólo han podido exclamar “Goatse!!”.

Uno de los miembros de T3K, G4sp4r, ha emitido a través de Twitter un comunicado en nombre del grupo en el que reconoce la autoría del ataque y asegura que acciones similares van a seguir produciéndose en estas fechas. Según indica, “no podemos quedarnos cruzados de brazos ante un caso de intrusismo profesional tan claro como este. Santa go home!“; el grupo no descarta además actuaciones adicionales de protesta –“a muchos trineos les fallan los frenos sin ningún motivo” ha indicado Melch0r, otro de los miembros de T3K-.

T3K está recibiendo un amplio apoyo de otros grupos de la scene nacional, como The Krist0s The Borja (TKTB), especializado en defacements y que está lanzando un ataque masivo a las páginas web de SANTANet para sustituir las imágenes de Papá Noel por fotos del alcalde de Marinaleda, o HispaLeaks, grupo que asegura haber obtenido los datos personales de todos los renos y una copia de los mensajes de correo electrónico de SANTANet y amenaza con publicarlos antes de fin de año si Santa no cesa sus actividades.

Por su parte, la Agencia de Protección de Datos ha abierto un expediente con el objeto de analizar el posible robo de información y determinar si las medidas de seguridad de SANTANet eran adecuadas. Según uno de sus responsables, estos datos son de nivel alto y SANTANet puede ser sancionada si se demuestra que no han protegido correctamente esta información; además, el hecho de que los datos sean en su mayor parte de menores agrava aún más el problema, por lo que en caso de existir sanción esta sería máxima.

Si alguno de nuestros lectores encuentra su lista de regalos en Pastebin, por favor, que nos lo comunique; estamos elaborando unas estadísticas para nuestro próximo informe de Protección de Infraestructuras Críticas que no tienen nada que ver con esto, pero así cotilleamos un rato y vemos qué regalos queréis para estas fechas :)

¡Mucho cuidado este 28 de diciembre!

Comments

  1. Siempre estamos con vulnerabilidades de Apache…

  2. Muy bueno.. jajajajaja