DDoS aprovechando los servidores de Google+

IHTeam ha revelado una forma de utilizar la infraestructura de servidores de Google para realizar ataques de denegación de servicio distribuido sin necesidad de poseer un gran ancho de banda.

En concreto se está utilizando la infraestructura de servidores dedicados a su red social (Google+), que son utilizados como Proxy para descargar archivos. La utilización de estos servidores Proxy se puede realizar mediante dos URLs diferentes:

* https://plus.google.com/_/sharebox/linkpreview/?c=<URL>&t=1&_reqid=<NUMEROS_ALEATORIOS>&rt=j

* https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=<URL>&container=focus

Cambiándoles ciertos parámetros ("c" para la primera URL y "url" para la segunda), se puede conseguir que en realidad, sea Google el que realice la petición a la URL indicada por parámetros. De esta forma, automatizando la petición paralela de varias de estas URLs mediante un script, como el que está disponible en la página de los autores, se puede conseguir generar un gran tráfico hacia el servidor que se desea atacar. Esto facilita provocar ataques de denegación de servicio distribuidos, sin necesidad de una gran infraestructura.

Según las pruebas realizadas por IHTeam, una computadora atacante con un ancho de banda de 6 Mbps ha conseguido mediante estas peticiones que Google genere un tráfico en el servidor atacado de hasta 96 Mbps.

Otra ventaja de utilizar este método es que realizando las peticiones a través de la primera URL las direcciones IP de los equipos que están atacando que aparecerán en los archivos del log de la máquina objetivo, serán las de las máquinas de Google.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4694/comentar 

Ejecución de código en CUPS

Han publicado un par de fallas en CUPS que permiten a un atacante ejecutar código arbitrario de forma remota.

CUPS son las siglas de Common Unix Printing System, sistema de impresión desarrollado por Michael Sweet para sistemas operativos tipo UNIX. Posteriormente fue adoptado por Apple para su sistema operativo Mac OS X.

Estas vulnerabilidades permiten la ejecución remota de código si el atacante envía a imprimir una imagen en formato GIF especialmente manipulada. Provocaría un desbordamiento de memoria intermedia basada en pila cuando se procesan imágenes en la función gif_read_lzw del fichero filter/image-gif.c.

Estas vulnerabilidades son muy similares entre sí y ya han sido previamente corregidas en otras implementaciones para otros programas que procesan imágenes GIF.

CUPS ya ha publicado una nueva versión del código fuente disponible en la web.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4691/comentar 

Vulnerabilidad en HP Easy Printer Care

Han anunciado una vulnerabilidad en el software HP Easy Printer Care 2.5 (y anteriores) que permite a un atacante tomar el control de los sistemas afectados.

El software HP Easy Printer Care está destinado a ayudar a los usuarios finales a realizar el mantenimiento de una impresora o un grupo de impresoras HP para que funcionen correctamente. Este software permite ver el estado de las impresoras HP, así como configurar alertas personalizadas de impresión y de consumibles.

La vulnerabilidad reside en un error de validación de entradas en el método "SaveXML()" de la clase XMLSimpleAccessor (HPTicketMgr.dll). Este problema puede permitir a un atacante crear archivos arbitrarios mediante secuencias de escalada de directorios.

La versión afectada no está soportada por HP, por lo que este fabricante recomienda su desinstalación de los sistemas. En caso contrario se recomienda asignar el kill bit para el control ActiveX vulnerable (CLSID) {466576F3-19B6-4FF1-BD48-3E0E1BFB96E9} . El kill bit se asigna modificando el valor de DWORD del CLSID del ActiveX a 0x00000400.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4683