.:: Securnetwork.net Blog – Massimo Rabbi ::.

Netgear ha annunciato il rilascio del proprio router WNR3500L che oltre al supporto per wireless-N monta anche un firmware Linux-based.
Il dispositivo è dotato di una porta Gigabit Ethernet e una USB 2.0 che consente di collegare un hard disk esterno o un modem USB 3G.
Questo nuovo modello monta un processore MIPS 480Mhz, 8MB di memoria flash e 64MB di RAM.

Il Netgear RangeMax WNR3500L supporta una vasta gamma di firmware open source, dai DD-WRT e OpenWrt al HyperWRT-based Tomato.
Le versioni compatibili del firmware sono disponibili per il download nell’apposita sezione della community myopenrouter.com.
Il firmware originale del device è basato su kernel Linux 2.4.20 e i sorgenti sono disponibili online.

Per ulteriori dettagli si rimanda alla visione della pagina web del prodotto e del relativo datasheet.
Stando alle dichiarazioni di Netgear il router dovrebbe essere disponibile a breve (autunno 2009, ormai ci siamo!).
Il prezzo sul mercato per quanto riguarda gli Stati Uniti dovrebbe aggirarsi sui 139.99$.

Tenable Network Security ha annunciato pochi giorni fa il rilascio della versione 4 del suo vulnerability scanner Nessus.
Nessus è un network scanner in grado di individuare vulnerabilità in singoli sistemi o reti di computer, prevenendo così attacchi informatici di vario genere. Tra le sue funzionalità anche la capacità di verificare sugli host di una rete la presenza di prodotti antivirus correttamente aggiornati.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
- Version 4 of the Nessus vulnerability scanner released, by Heise Security

Cisco ha rilasciato alcuni aggiornamenti di sicurezza per le sue PIX Security Appliances e Adaptive Security Appliances (ASA).
Se il dispositivo è configurato per l’accesso VPN SSL o IPSec, le vulnerabilità consentono ad un cracker di bypassare il meccanismo di autenticazione quando si effettua l’accesso ad un dominio Windows NT.

In aggiunta è possibile causare memory leak nell’ASA Crypto Accelerator attraverso pacchetti appositamente modificati. Questo da’ la possibilità di effettuare attacchi di tipo Denial of Service (DoS).
E’ possibile altresi’ usando pacchetti IPv6 appositamente creati, causare un reboot delle appliance.
Nel security advisory di Cisco vengono riportate con esattezza le versioni delle piattaforme interessate dal problema.

RIFERIMENTI:
- Cisco removes vulnerabilities in ASA and PIX, by Heise Security
- Multiple Vulnerabilities in Cisco PIX and Cisco ASA, Cisco Security Advisory

In occasione dei prossimi convegni sulla computer security, vari hackers/security researchers stanno preparando il proprio materiale in tema di rootkits.
Sebastian Muñiz di Core Security ha sviluppato un rootkit per i router Cisco e sta pensando di presentarlo all’EuSecWest Conference che si terrà a Londra il 21 e 22 di maggio.
Sherri Sparks e Shawn Embleton di Clear Hat Consulting sfruttano un operational mode poco conosciuto dei processori Intel per nascondere il codice. Il loro lavoro sarà presentato alla conferenza Black Hat USA 08 il 6-7 agosto al Caesars Palace Hotel and Casino di Las Vegas.

Il rootkit sviluppato da Sparks e Shawn usa il System Management Mode (SMM) dei processori Intel per nascondere in memoria un key logger.
Il System Management Mode è pensato per individuare e reagire a eventi di sistema come errori della memoria e del chipset, estendendo le funzionalità della scheda madre e gestendo il controllo della temperatura e dell’alimentazione.
SMM è implementato su tutti i moderni processori x86 e x64, inclusi quelli prodotti da Via e AMD.
Il sistema operativo non è in grado di interrompere una chiamata SMM.
Quando il processore riceve un System Management Interrupt (SMI) non-maskable, viene sospesa l’esecuzione del s.o. stesso e dei programmi, salvato lo stato della macchina, ed eseguito il codice da una zona di memoria privilegiata e nascosta.
Uno dei pericoli è che il codice non può accedere alcun drivers del sistema operativo in modalità SMM, ma deve “dialogare” direttamente con l’hardware.

Alla CanSecWest Conference del 2006, Loic Duflot ha presentato un articolo in cui mostra come i superusers possano innalzare i propri privilegi grazie a SMM su un sistema OpenBSD. Al tempo pero’ non fu reso pubblico alcun rootkit per SMM.

Il rootkit per l’IOS Cisco sviluppato da Sebastian Muñiz di Core Security Technologies presumibilmente gira su diverse versioni del sistema operativo.
Un attaccante deve prima di tutto ottenere l’accesso alla macchina che vuole compromettere, magari mediante una vulnerabilità nota (della particolare versione) e code injection.
Il codice viene quindi memorizzato nel firmware e immediatamente eseguito una volta che il device viene riavviato.
Apparentemente, i router Cisco possono essere controllati e monitorati senza che nessuno se ne accorga.
Muñiz ha già fatto sapere che non rilascierà il codice sorgente per questo rootkit.

Preoccupante inoltre come recentemente, l’FBI abbia individuato moduli e appliances Cisco piratati, utilizzati dal governo e dai militari. L’ipotesi alquanto preoccupante è che qualcuno stia già utilizzando questi devices per scopi di spionaggio.
Il rootkit di Muñiz potrebbe dimostrare come questo pericolo non sia solamente teorico, ma effettivamente reale, anche Cisco non ha individuato nulla di anomalo nei dispositivi sequestrati dall’FBI.

Va ricordato a riguardo quanto successe in occasione del Black Hat 2005, quando Michael Lynn parlò di alcune vulnerabilità dei router Cisco che consentivano l’injection e l’esecuzione di codice malevole.
Cisco scatenò l’inferno tentando di impedire a Lynn di fare la presentazione, addirittura intentandogli causa.
L’avvocato Jennifer Granick di Electronic Freedom Foundation (EFF), che rappresentò Lynn nel caso contro Cisco, avverte che la cosa potrebbe ripetersi, con Cisco che potrebbe intentare causa contro Muñiz per violazione di segreti commerciali.
A quanto pare però Muñiz non sembra molto preoccupata dalla cosa visto la brutta figura che ci fece Cisco nel 2005.
Dice infatti: “Cisco si definisce come una società molto vicina e amichevole nei confronti di chi svolge ricerca… Ci penseranno bene prima di intentare un’azione legale.”.

FONTI:
* Security Researcher to release Cisco rootkit at EUSecWest, news sul blog di Nathan McFeters
* A New Breed of Rootkit: The System Management Mode (SMM) Rootkit, annuncio della presentazione di Shawn Embleton e Sherri Sparks al BlackHat USA 08
* Hackers present new rootkit techniques, by Heise Security

La Distributed Computing Industry Association e il suo “P4P Working Group” stanno lavorando ad un nuovo protocollo peer-to-peer, chiamato “Proactive network Provider Participation for P2P” o P4P. Esso viene descritto come un “sistema di trasferimento file peer-to-peer carrier-grade”.

Ciò che potrebbe però sorprendere è che tra le compagnie che compongono l’associazione rientrano non solo aziende come LimeWire, BitTorrent e Skype, ma anche AT&T e Verizon.
Il New York Times ha di recente pubblicato un articolo in cui enfatizza l’allarmante quantità di traffico dati che passa su Internet.
Nonostante la storia punti l’attenzione su siti come YouTube, è pur vero che il traffico P2P rappresenta per la maggior parte degli ISPs una grossa percentuale del traffico di rete.

Lo scopo del P4P è quello di ridurre il traffico sfruttando la topologia di rete nel trasferimento dati “selezionando” in maniera intelligente piuttosto che casuale i differenti peers, migliorando così l’efficenza del routing globale.
Riducendo infatti il numero di hops che un pacchetto deve fare da sorgente a destinazione si migliorano le condizioni globale del network.
Il paper intitolato “P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers” è stato presentato in occasione della conferenza inaugurale del DCIA P2P Market a New York City, lo scorso venerdi’.
E’ stato mostrato come il P4P migliori il download rate del 205% rispetto a un classico download P2P, e dimininuisca il numero di hops necessari nell’instradamento interno degli ISP da 5.5 hops a a 0.89 hops.

E le informazioni sulla topologia di rete? Se ne occupa Verizon.
Questo non significa assolutamente che Verizon approvi i trasferimenti P2P, quelli illegali per lo meno.
Nel PDF infatti leggendo gli obiettivi del P4P Working Group: “… lavorare assieme e in maniera coordinata con i più grandi Internet Service Providers (ISPs), aziende distributrici di software peer-to-peer (P2P) e ricercatori al fine di individuare le best practices per l’uso del P4P come meccanismo di distribuzione dei contenuti e onde ottimizzare l’uso delle risorse di rete degli ISPs, garantendo la migliori performances possibili all’utente finale…”

APPROFONDIMENTI:
- P4P Aims to Speed Peer-to-Peer File Transfers, Reduce Traffic – by RealTechNews
- P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers, research paper
- P4P Working Group’s mission statement

La scansione di circa 2,5 milioni di IP da parte di Adrian Pastor di GNUCitizen ha rivelato come 5320 sistemi possano “potenzialmente” essere controllati e/o compromessi via Internet attraverso il protocollo SNMP.
Le comunicazioni SNMP tipicamente avvengono per mezzo di testo in chiaro (passwords e “community strings” ad esempio).
Per ragioni di sicurezza l’utilizzo di SNMP se necessario, va limitato e ristretto al proprio perimetro di rete.

Purtroppo questa precauzione spesso non viene presa in considerazione, e vengono lasciate impostate le community strings con i valori di default.
Tra i sistemi più diffusi individuati da Pastor nella sua indagine vi sono: router Zyxel Prestige, Netopia, Cisco, dispositivi Apple AirPort/Base Station e modem voip Touchstone di Arris. Sono stati identificati anche sistemi Windows 2000.
Durante il suo test, Pastor ha inviato query con object ID (OID) 1.3.6.1.2.1.1.1.0, che ritorna il modello di router e il costruttore.
Non sono state ricercate specifiche vulnerabilità, tuttavia lo stesso Pastor ha in passato pubblicato un’analisi che rivela numerose vulnerabilità in routers molto diffusi come ad esempio gli Zyxel Prestige, incluse alcune legate a SNMP.
E’ stato mostrato come l’accesso SNMP possa rivelare la lista degli utenti su macchine Windows 2000 Server, dati relativi all’accesso DSL sui routers BT Voyager, passwords di amministrazione sulle stampanti HP e altri parametri inclusi quelli di login per il dns dinamico su routers Zyxel.

Di per sè il protocollo SNMP non rappresenta un problema di sicurezza, visto che comunque moltissimi tools tra cui HP OpenView, Cisco Works LMS e Nagios lo utilizzano ampiamente: tuttavia è intrisecamente insicuro e progettato per essere usato in ambito locale e interno. Detto questo ogni sua “esposizione” su Internet dovrebbe andare caldamente evitata!

APPROFONDIMENTI:
* Exploring the UNKNOWN: Scanning the Internet via SNMP!, report from Adrian Pastor
* ZyXEL Gateways Vulnerability Research (PDF) , report from Adrian Pastor
* Systems disclose sensitive data via SNMP , news by Heise Security

Il colosso Intel ha presentato di recente il proprio dispositivo di rete in grado di switchare in maniera istantanea il segnale fra una classica rete WiFI ed una WiMax. La compagnia ha dichiarato infatti che gli utenti in questo modo potranno continuare a restare connessi e navigare, indifferentemente che si trovino in presenza di reti Wireless, WiMax o di entrambe.
La tecnologia è stata mostrata lunedi’ a Barcellona in occasione del GSMA Mobile World Congress.
Con Intel allo sviluppo hanno collaborato anche Nokia e Siemens Networks.
L’idea è appunto quella di un dispositivo che consenta all’utente di muoversi liberamente per la città col proprio notebook, palmare, pocketpc restando perennemente connesso a quella che si potrebbe definire una “rete globale” priva di interruzioni di servizio.
Tutto questo anche e sopprattutto grazie al fatto che il device sarebbe in grado di farlo in modo completamente trasparente all’utilizzatore.

APPROFONDIMENTI:
- Intel Device Freely Switches Between Wi-Fi, WiMax Networks, by InformationWeek

Sul forum di UltraVNC è comparsa la segnalazione di un bug che interessa vncviewer, parte del pacchetto UltraVNC server, e che consentirebbe ad un ipotetico attaccante di ottenere l’accesso al sistema vittima.
Non è stata rilasciata alcuna informazione circa la vulnerabilità da parte degli sviluppatori, ma questa potrebbe venire sfruttata quando vncviewer gira in listening mode o è connesso ad un server appositamente modificato. Fintanto che il viewer gira in modalità listening un server puo’ stabilire con esso una connessione.

Il problema di sicurezza si verifica anche in caso sia attivo il plugin DSM (per l’encrypting della comunicazione), anche se in questo caso l’attaccante dovrebbe essere in possesso di una chiave valida.
Il server non è invece interessato da simili problemi di sicurezza.
Il report su uvnc.com, segnala il bug come presente nelle versioni 1.0.2 (stabile) e in tutte le release candidates dalla 1.0.4 in su.
Il consiglio è dunque quello, laddove possibile, di effettuare l’aggiornamento o quanto meno di disattivare il listening mode e connettersi solamente a server fidati.

RIFERIMENTI:
- Uninvited remote maintenance for UltraVNC clients, by Heise Security
- WARNING: vulnerability found in the vncviewer…, security advisory on the uvnc forum

L’Internet Storm Center (ISC) ha rilasciato un report in cui vengono elencati alcuni bugs che interessano la famiglia di routers Juniper.
I dispositivi sarebbero suscettibili a problemi di crash nella fase di processing di pacchetti “malformati”. Juniper che è il secondo più grande produttore/distributore di routers e switch al mondo – e uno dei primi competitor di Cisco per quanto riguarda i routers di fascia alta – ha rilasciato gli aggiornamenti che servono a correggere il problema.

Le versioni di JUNOS interessate vanno dalla 7.3 alla 8.4 compresa. Il crash si verifica in seguito alla ricezione di pacchetti IPv6 appositamente modificati. Inoltre la ricezione di pacchetti BGP “malformati” può causare la chiusura improvvisa delle sessioni BGP aperte.
Juniper ha messo a disposizione degli utenti registrati le relative patches.
Nella versione JUNOS 8.5R1 il bug riguardante IPv6 è stato infatti fixato.

RIFERIMENTI:
* Important upgrade for Juniper routers, ISC security advisory
* Update for the IPv6 hole (registered users)
* Update for the BGP hole (registered users)
* Updates close DoS hole in Juniper routers, by Heise Security

Stando ad alcuni segnalazioni tecniche, sarebbe possibile sfruttare un bug del telefono Nokia N95 per causare un freeze del dispositivo. L’unica soluzione in seguito al blocco è un riavvio del cellulare. Per fare questo sembra basti inviare una serie di pacchetti SIP INVITE al client SIP del Nokia N95, causando così il “blocco” del device.
Fortunatamente il client SIP è disabilitato di default.
La vulnerabilità scoperta riguarda il firmware 12.0.013, ma altre versioni e forse altri devices Nokia potrebbero essere possibili target del problema.
Stando alle segnalazioni sembra che Nokia non abbia rilasciato alcuna informazione ufficiale a riguardo: non è stata fornita alcuna patch, e l’unico workaround al momento è quello di lasciare disabilitato il client SIP dell’N95.

Gli stessi ricercatori che hanno individuato il bug del Nokia N95, hanno scovato una vulnerabilità sempre di tipo DoS nell’implementazione SIP del telefono IP Cisco 7940.
Tramite l’invio di una serie di pacchetti INVITE privi di username nel request URI, si riesce a forzare il reboot del device.
Tuttavia per sfruttare l’exploit è necessario uno user ID valido.
La vulnerabilità è stata confermata per il firmware P0S3-08-7-00.
Nessun aggiornamento è attualmente disponibile.

RIFERIMENTI:
* Nokia N95 cellphone remote DoS using the SIP Stack, Madynes Team error report
* Cisco Phone 7940 remote DOS, Madynes Team error report
* DoS vulnerabilities in Nokia N95 and Cisco 7940 IP phone, by Heise Security

Che BFI (acronimo per Butchered From Inside) fosse una delle migliori (se non la migliore) e-zine del panorama underground italiano da ormai molti anni non ci sono dubbi.
Di fatto è l’unica che nonostante non abbia una “periodicità fissa” con cui escono gli articoli, è sempre rimasta presente nel panorama italiano e internazionale in tutti questi anni.
Penso ad esempio alle varie Ondaquadra o NetRunner e perchè no Newbies… il tempo è passato un po’ per tutti: i siti sono scomparsi e i vecchi numeri delle ezine si trovano hostate in giro per la rete.

Era ormai parecchio tempo che non passavo sul sito del s0ftpr0ject, e stamattina ci son capitando googlando per caso.
E tra gli ultimi articoli pubblicati per la rivista BFI trovo questo “Sicurezza dei sistemi P2P per il data store distribuito” si tratta di un paper di ben 114 pagine in cui vengono trattati i “… più interessanti sistemi P2P per il data store distribuito: OceanStore, Mnemosyne, Free Haven e Freenet. Le appendici sono dedicate a Mixminion e Tor, due tecnologie che non offrono funzionalità di storage, ma possono invece essere usate come canali di comunicazione anonima in sistemi P2P per il data store.
Con la descrizione dei protocolli e degli algoritmi impiegati e l’analisi delle problematiche legate alla sicurezza si desidera aiutare il lettore a comprendere questi sistemi affinchè possa in seguito “metterci le mani sopra” in modo consapevole, modificarli e progettarne di nuovi.”
Si badi bene non si tratta di un testo che parla di emule, bittorent, dc++… ma di un qualcosa che spiega attraverso l’analisi di implementazioni reali il sistema p2p (termine ormai associato al “download selvaggio”) come contrapposizione del classico modello client-server. Il tutto chiaramente condito con gli indispensabili “ingredienti” sicurezza e anonimato!

Per leggere l’articolo in formato pdf cliccate qui, mentre se preferite la classica versione testuale BFI cliccate qui.
L’articolo è stato scritto da tlei e guy montag.
Che dire… buona lettura!

Cisco ha pubblicato recentemente un advisory di sicurezza in cui viene riportata una vulnerabilità che interessa il line printer daemon (LPD) del proprio IOS. Un utente potrebbe sfruttare questa falla per causare un crash del sistema o comunque comprometterlo. Il buffer overflow è dovuto all’incapacità di gestire hostname di lunghezza oltre un certo limite.
Fortunatamente LPD è disabilitato di default e un aggiornamento all’IOS, che risolve il problema, è già stato rilasciato.

Un altro bug di sicurezza si ha nella fase di conversione di un CiscoWorks Wireless LAN Solution Engine (WLSE) in un Cisco Wireless Control System (WCS). L’advisory riporta come il tool di conversione crei account con privilegi amministrativi con credenziali di default. Il problema affligge la Convert Utility fino alla versione 4.1.91.0 e interessa la la conversione da sistemi WLSE a WCS.
La raccomandazione è quella di re-impostare password strong per tutti gli account.

LINKS:
- Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow, security advisory from Cisco
- http://www.irmplc.com/index.php/155-Advisory-024, security advisory from IRM
- Cisco Wireless Control System Conversion Utility Adds Default Password, security advisory from Cisco
- Vulnerabilities in Cisco Products, by Heise-Security

Riprendo un interessante post su Raymond.cc per segnalare questa interessantissima suite freeware di prodotti che ogni amministratore di sistema dovrebbe tenere a portata di mano.
Si tratta di un prodotto all-in-one che raccoglie oltre 175 tools per network monitoring e security.

Net Tools richiede che sia installato sul sistema il Microsoft .NET Framework 2.0.
Link per il download.
Ecco una lista esaustiva dei principali tools presenti: Leggi il resto dell’articolo »

Sta circolando la notizia secondo cui l’IOS Cisco sarebbe vulnerabile ad un DoS che consentirebbe il reboot dei routers degli ISP più disparati. Il problema sembra si presenti quando viene interpretato il comando “show ip bgp regexp” con espressioni regolari particolari.
Il risultato è che il router si riavvia e deve ricostruire la propria tabella di routing BGP.
Se la cosa si verifica per più volte in successione, può succedere che il router venga “ignorato” dai dispositivi di altri providers (per un certo intervallo), questo perchè il suo continuo riavvio viene “marcato” come route non affidabile/disponibile.
Conseguenza più grave è quindi che l’intera rete dell’ISP risulti non più raggiungibile.

Di solito, ogni ISP fornisce dei server pubblici che sono accessibili via Telnet e che possono essere usati per eseguire il comando in questione. I route servers sono usati per recuperare informazioni sul routing tra ISPs.
Oltre all’accesso Telnet, alcuni providers forniscono accesso via Looking Glass web interface, che altro non è che un wrapper Telnet. Anche questa può essere quindi sfruttata per passare comandi “modificati”.
Nonostante questa vulnerabilità risulti quindi molto facile da sfruttare, l’effetto di isolare segmenti di rete è difficilmente raggiungibile. I grossi ISP infatti usano route server dedicati all’unico scopo di restituire informazioni, ma non di effettuare il routing vero e proprio. Le cose possono pero’ essere leggermente diverse quando si ha a che fare con providers più piccoli, che magari usano gli stessi dispositivi per entrambi gli scopi, per una pura questione di risparmio economico.
Per il momento attraverso i canali ufficiali Cisco non ha rilasciato alcuna informazione o aggiornamento per l’IOS.
Come workaround, alcuni ISP hanno cominciato a filtrare particolari espressioni regolari sui servers Looking Glass.
Per quanto riguarda gli accessi via Telnet è sufficiente disabilitare il comando “show ip bgp regexp“.

LINKS:
- DoS vulnerability in Cisco IOS compromises the routers of Internet providers, news by Heise-Security

Un utente mi ha chiesto come si faccia a configurare Ubuntu per funzionare con Relakks.
Rispondo molto candidamente che non ho ancora provato.
Tuttavia lascio un paio di riferimenti che penso possa tornare utili un po’ a tutti, ecco perchè rispondo qui in home.
- Relakks and the Linux command line (direttamente dal forum Relakks ufficiale)
- Relakks – Gentoo Wiki
- Relakks e Kubuntu Feisty
Non mi resta che augurarvi buona lettura!

P.S: fate sapere se le procedure vi funzionano!

Siamo già quasi a quota 102.000 firme e credo sia importante diventino sempre di più, onde evitare di ridurci “all’italiana” anche sulla questione WiMax. Non credo sia il caso che le frequenze finiscano in mano ai “soliti noti.
I punti della petizione:

Oggi ho provato assieme a Matteo un software decisamente interessante: 12Voip.
Questo programmino si inserisce  a fianco dei tantissimi software dedicati al VOIP.
La cosa simpatica è la possbilità di effettuare chiamate in maniera gratuita dal proprio pc verso numeri fissi.
Il breve test è consistito in un paio di chiamate della durata di 3-4 minuti.
Un leggerissimo ritardo ma voce pulita e nessun particolare fruscio di fondo.
Testato anche con Relakks in funzione
Software quindi promosso!
Se vi va di fare una prova veloce questo è il sito di riferimento: 12Voip.

Su Techtown.it ho pubblicato un paio di video tutorials che mi ha inviato l’Ing. Antonio Di Maio che ringrazio.
I video in questione riguardano i seguenti argomenti:
1) AdRem Netcrunch: una vista dinamica per i servizi di rete
2) AdRem Netcrunch: rilevare la presenza di software P2P
I video li potete trovare qui nella sezione document repository disponibili per il download.
Le versioni online le potete consultare rispettivamente qui e qui.
Dal sito internet http://www.adremsoft.it potete scaricare la versione trial di AdRem Netcrunch e partire con i vostri esperimenti!

Cisco ha rilasciato un advisory in cui si riporta la presenza di varie vulnerabilità che colpiscono il server FTP integrato nell’IOS.
La conseguenza è che un attaccante potrebbe eseguire codice arbitrario ottenendo informazioni o provocando attacchi DoS.
Le falle non sono state descritte in dettaglio tuttavia si sa che l’FTP server dell’IOS non controlla in maniera corretta i dati di login dell’utente. Un attaccante è cosi’ in grado di scrivere o leggere file dal server, come file di configurazione, che potenzialmente potrebbero contenere password.
Sembra come detto sopra che sia possibile eseguire code-injection.
Inoltre un esempio di DoS che è possibile attuare è quello di causare il restart continuo e improvviso del server durante i trasferimenti di files.
Di default l’FTP server non è attivato, tuttavi alcuni amministratori lo utilizzano per installare nuove policies.
Il consiglio è quello di disattivare l’FTP server in attesa di una patch/update software che risolva in maniera “pulita” il problema.

- Cisco Security Advisory: Multiple Vulnerabilities in the IOS FTP Server

Una falla nel servizio Microsoft DNS Server consente ad un ipotetico attaccante, in particolari condizioni, di ottenere in maniera remota il controllo completo del sistema.
Stando ad un advisory Microsoft, alcuni tipi di pacchetti RPC modificati “ad arte” causano un buffer overrrun nel servizio DNS, che può consentire di fare injection di codice malevole, poi eseguito dal servizio con i privilegi SYSTEM.
Sempre secondo Microsoft, questo buco è già sfruttato in maniera attiva e nessuna patch non è stata ancora approntata per fixare il bug.
Il DNS Server di Microsoft è una componente di Windows 2000 SP4 e Windows Server 2003 con SP1 e SP2, ma non è attivato di default.
Microsoft avverte gli utenti di disabilitare l’RPC remote management per il servizio DNS Server.
Per fare questo, gli utenti devono creare una nuova entry DWORD con nome RpcProtoocol e assegnarle il valore 4 all’interno di HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters.
Altra raccomandazione è quella di registringere l’accesso di rete dei pacchetti RPC al range di porte TCP 1024-5000 e unicamente da indirizzi IP fidati.

VEDI ANCHE:
- Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935964), Microsoft advisory