LUK
03-09-2010, 10:01
A mediados de Agosto se anunció en el blog de exploit-db (http://www.exploit-db.com/moaub-0days-binary-analysis-exploit-pocs/) una iniciativa promovida por la empresa de seguridad informática Abysssec (http://www.abysssec.com/), la cual denominaron MOAUB - Month Of Abysssec Undisclosed Bugs (en castellano, algo así como el mes de los bugs no publicados por Abysssec), en la que, a partir del 1 de Septiembre y durante todo el mes, cada día se publicarían 0days, investigaciones, estudios con análisis de binarios y sus correspondientes pruebas de concepto, vulnerabilidades en aplicaciones web...de compañías tales como Microsoft, Apple, Adobe (no podía faltar, de este por desgracia se va a poder hacer hasta un YoAB...), etc.
http://2.bp.blogspot.com/_fWA7DVpD2eo/TH_6tdEnS1I/AAAAAAAAAfc/3bmKKs_rvJI/s1600/logo-moaub.jpg
Además de utilizar la propia página de la compañía (http://www.abysssec.com/) para ir anunciando todas sus publicaciones, su principal plataforma con todos los detalles e informaciones sería la propia exploit-db (http://www.exploit-db.com/category/abysssec/), web por excelencia de recopilación de exploits, papers y demás (tras la desaparición para siempre del proyecto milw0rm (http://www.securitybydefault.com/2009/12/mercadillo-de-exploits.html)).
Pues bien, ya nos encontramos recién comenzado Septiembre, y de momento ya contamos con 4 advisories. En un principio, personalmente creía que se publicaría una vulnerabilidad al día, pero a fecha 2 de Septiembre, llevan un ritmo de 2 por día. Para el día 1, se han publicados dos advisories: uno de Cpanel que permite saltarse restricciones de seguridad (http://www.exploit-db.com/moaub-1-cpanel-php-restriction-bypass-vulnerability/) (impuestas por mod_security u otros mecanismos) y otro con ejecución de código remota y local tanto en Adobe Acrobat Reader como en Flash Player (http://www.exploit-db.com/adobe-acrobat-newclass-invalid-pointer-vulnerability/). Para el día 2, Abysssec publicó una ejecución de código en Apple Quicktime (http://www.exploit-db.com/apple-quicktime-flashpix-numberoftiles-vulnerability/) y un buen conjunto de graves vulnerabilidades web que afectan al software de creación de portales Rainbowportal (http://www.exploit-db.com/rainbowportal-multiple-remote-vulnerabilities-0day/).
http://4.bp.blogspot.com/_fWA7DVpD2eo/TH_7fki45BI/AAAAAAAAAfk/oyhsH8Nv_tg/s320/moaub-001.jpg (http://4.bp.blogspot.com/_fWA7DVpD2eo/TH_7fki45BI/AAAAAAAAAfk/oyhsH8Nv_tg/s1600/moaub-001.jpg)
Lo más llamativo es la cantidad de detalles que se dan sobre la vulnerabilidad para cada una de ellas, y parece que es algo que seguirá presente en todo lo que vayan publicando. No se limitan a comentar por encima la función vulnerable y publicar el exploit o PoC, son advisories con alto nivel de detalle técnico sobre la vulnerabilidad.
No es la primera vez que se realizan iniciativas de este tipo, las llamadas Month Of Bugs: que durante un mes entero, un investigador o grupo de seguridad se dediquen a publicar vulnerabilidades de un producto en concreto, servicio, fabricante o compañía.
El año pasado el investigador israelí Aviv Raff (http://www.twitter.com/avivra) comenzó el blog TwitPwn para registrar todo lo que diese de sí el MoTB - Month Of Twitter Bugs (http://www.twitpwn.com/) (el mes de los bugs en Twitter (http://www.securitybydefault.com/2009/06/twitpwn-o-como-dejar-sin-vacaciones-un.html)), que al final resultaron ser vulnerabilidades en aplicaciones que utilizaban la API de Twitter (http://www.securitybydefault.com/2009/08/resumen-y-conclusiones-del-month-of.html) o que estuviesen relacionados con el servicio de alguna manera. Dicho investigador también fue partícipe en Julio del 2006 del MoBB - Month Of Browser Bugs (http://browserfun.blogspot.com/) (el mes de los bugs en navegadores).
Kevin Finisterre y otros, en Noviembre del 2006, llevaron a cabo el MoKB - Month Of Kernel Bugs (http://projects.info-pull.com/mokb/). Más adelante, en Enero del 2007 realizaron el MoAP - Month Of Apple Bugs (http://projects.info-pull.com/moab/).
En Marzo del 2007, el Hardened-PHP Project (http://www.hardened-php.net/) realizó el MoPB - Month of PHP Bugs (http://php-security.org/MOPB/index.html), publicando más de 40 vulnerabilidades en el intérprete de PHP. Y a diferencia de las anteriores iniciativas, en esta ocasión una organización, SektionsEins (http://www.sektioneins.com/en/index/) decidió conformar una iniciativa denominada MoPS - Month of PHP Security (http://www.php-security.org/2010/05/01/welcome-to-the-month-of-php-security/index.html) realizando para ello un proceso de selección de entre todas los trabajos que recibieran sobre seguridad en PHP. El pasado Abril terminó el proceso de solicitud de artículos e investigaciones sobre seguridad en PHP (http://www.php-security.org/cfp/index.html) y ya se eligieron este Junio los ganadores (http://www.php-security.org/2010/06/10/winners-of-the-month-of-php-security/index.html). El segundo premio fue para Johannes Dahse (http://websec.wordpress.com/about/), segundo ganador del Wargame que organizamos para la Campus Party Europa 2010 (http://www.securitybydefault.com/2010/04/campus-party-europe-2010-concurso-de.html).
Muchos opinan que se tratan de estrategias de marketing y promoción, pero lo que está claro es que dan sus frutos, y nos mantienen un mes más que entretenidos.
[+] MoBB - Month of Browser Bugs (http://browserfun.blogspot.com/)
[+] MoKB - Month of Kernel Bugs (http://projects.info-pull.com/mokb/)
[+] MoAP - Month of Apple Bugs (http://projects.info-pull.com/moab/)
[+] MoPB - Month of PHP Bugs (http://php-security.org/MOPB/index.html)
[+] MoTB - Month of Twitter Bugs (http://www.twitpwn.com/)
[+] MoPS - Month of PHP Security (http://www.php-security.org/2010/05/01/welcome-to-the-month-of-php-security/index.html)
[+] MoAUB - Month of Abysssec Undisclosed Bugs (http://www.exploit-db.com/category/abysssec/)
Publicado por José A. Guasch en http://www.securitybydefault.com/2010/09/moxb-los-meses-de-los-bugs.html
http://2.bp.blogspot.com/_fWA7DVpD2eo/TH_6tdEnS1I/AAAAAAAAAfc/3bmKKs_rvJI/s1600/logo-moaub.jpg
Además de utilizar la propia página de la compañía (http://www.abysssec.com/) para ir anunciando todas sus publicaciones, su principal plataforma con todos los detalles e informaciones sería la propia exploit-db (http://www.exploit-db.com/category/abysssec/), web por excelencia de recopilación de exploits, papers y demás (tras la desaparición para siempre del proyecto milw0rm (http://www.securitybydefault.com/2009/12/mercadillo-de-exploits.html)).
Pues bien, ya nos encontramos recién comenzado Septiembre, y de momento ya contamos con 4 advisories. En un principio, personalmente creía que se publicaría una vulnerabilidad al día, pero a fecha 2 de Septiembre, llevan un ritmo de 2 por día. Para el día 1, se han publicados dos advisories: uno de Cpanel que permite saltarse restricciones de seguridad (http://www.exploit-db.com/moaub-1-cpanel-php-restriction-bypass-vulnerability/) (impuestas por mod_security u otros mecanismos) y otro con ejecución de código remota y local tanto en Adobe Acrobat Reader como en Flash Player (http://www.exploit-db.com/adobe-acrobat-newclass-invalid-pointer-vulnerability/). Para el día 2, Abysssec publicó una ejecución de código en Apple Quicktime (http://www.exploit-db.com/apple-quicktime-flashpix-numberoftiles-vulnerability/) y un buen conjunto de graves vulnerabilidades web que afectan al software de creación de portales Rainbowportal (http://www.exploit-db.com/rainbowportal-multiple-remote-vulnerabilities-0day/).
http://4.bp.blogspot.com/_fWA7DVpD2eo/TH_7fki45BI/AAAAAAAAAfk/oyhsH8Nv_tg/s320/moaub-001.jpg (http://4.bp.blogspot.com/_fWA7DVpD2eo/TH_7fki45BI/AAAAAAAAAfk/oyhsH8Nv_tg/s1600/moaub-001.jpg)
Lo más llamativo es la cantidad de detalles que se dan sobre la vulnerabilidad para cada una de ellas, y parece que es algo que seguirá presente en todo lo que vayan publicando. No se limitan a comentar por encima la función vulnerable y publicar el exploit o PoC, son advisories con alto nivel de detalle técnico sobre la vulnerabilidad.
No es la primera vez que se realizan iniciativas de este tipo, las llamadas Month Of Bugs: que durante un mes entero, un investigador o grupo de seguridad se dediquen a publicar vulnerabilidades de un producto en concreto, servicio, fabricante o compañía.
El año pasado el investigador israelí Aviv Raff (http://www.twitter.com/avivra) comenzó el blog TwitPwn para registrar todo lo que diese de sí el MoTB - Month Of Twitter Bugs (http://www.twitpwn.com/) (el mes de los bugs en Twitter (http://www.securitybydefault.com/2009/06/twitpwn-o-como-dejar-sin-vacaciones-un.html)), que al final resultaron ser vulnerabilidades en aplicaciones que utilizaban la API de Twitter (http://www.securitybydefault.com/2009/08/resumen-y-conclusiones-del-month-of.html) o que estuviesen relacionados con el servicio de alguna manera. Dicho investigador también fue partícipe en Julio del 2006 del MoBB - Month Of Browser Bugs (http://browserfun.blogspot.com/) (el mes de los bugs en navegadores).
Kevin Finisterre y otros, en Noviembre del 2006, llevaron a cabo el MoKB - Month Of Kernel Bugs (http://projects.info-pull.com/mokb/). Más adelante, en Enero del 2007 realizaron el MoAP - Month Of Apple Bugs (http://projects.info-pull.com/moab/).
En Marzo del 2007, el Hardened-PHP Project (http://www.hardened-php.net/) realizó el MoPB - Month of PHP Bugs (http://php-security.org/MOPB/index.html), publicando más de 40 vulnerabilidades en el intérprete de PHP. Y a diferencia de las anteriores iniciativas, en esta ocasión una organización, SektionsEins (http://www.sektioneins.com/en/index/) decidió conformar una iniciativa denominada MoPS - Month of PHP Security (http://www.php-security.org/2010/05/01/welcome-to-the-month-of-php-security/index.html) realizando para ello un proceso de selección de entre todas los trabajos que recibieran sobre seguridad en PHP. El pasado Abril terminó el proceso de solicitud de artículos e investigaciones sobre seguridad en PHP (http://www.php-security.org/cfp/index.html) y ya se eligieron este Junio los ganadores (http://www.php-security.org/2010/06/10/winners-of-the-month-of-php-security/index.html). El segundo premio fue para Johannes Dahse (http://websec.wordpress.com/about/), segundo ganador del Wargame que organizamos para la Campus Party Europa 2010 (http://www.securitybydefault.com/2010/04/campus-party-europe-2010-concurso-de.html).
Muchos opinan que se tratan de estrategias de marketing y promoción, pero lo que está claro es que dan sus frutos, y nos mantienen un mes más que entretenidos.
[+] MoBB - Month of Browser Bugs (http://browserfun.blogspot.com/)
[+] MoKB - Month of Kernel Bugs (http://projects.info-pull.com/mokb/)
[+] MoAP - Month of Apple Bugs (http://projects.info-pull.com/moab/)
[+] MoPB - Month of PHP Bugs (http://php-security.org/MOPB/index.html)
[+] MoTB - Month of Twitter Bugs (http://www.twitpwn.com/)
[+] MoPS - Month of PHP Security (http://www.php-security.org/2010/05/01/welcome-to-the-month-of-php-security/index.html)
[+] MoAUB - Month of Abysssec Undisclosed Bugs (http://www.exploit-db.com/category/abysssec/)
Publicado por José A. Guasch en http://www.securitybydefault.com/2010/09/moxb-los-meses-de-los-bugs.html