BitTorrent per attacchi DoS

Un gruppo di ricercatori inglesi ha dimostrato che alcuni bachi del protocollo BitTorrent possono essere sfruttati per portare attacchi di denial of service (DoS).

L’attacco avviene modificando ad arte i pacchetti di alcuni protocolli di BitTorrent quali Micro Transport Protocol (uTP), Distributed Hash Table (DHT) e Message Stream Encryption (MSE) e i pacchetti di BitTorrent Sync (BTSync). Leggi tutto “BitTorrent per attacchi DoS”

Aggiornate gli IIS esposti a Internet ADESSO

Microsoft ha recentemente corretto un problema critico di HTTP.sys

Come capita spesso, qualcuno ha analizzato le differenze per scoprire il tipo di problema che è stato corretto e i risultati delle analisi portano a suggerire di aggiornare immediatamente IIS, prima che dobbiate essere costretti a farlo da una serie di BSOD. Leggi tutto “Aggiornate gli IIS esposti a Internet ADESSO”

Attenzione alle HP iLO

Chi ha una HP iLO versione 1 o 2 esposta a Internet è vulnerabile ad un DoS.

Le iLO 1 e 2 non sono vulnerabili a heartbleed, ma se sono oggetto di scansione per verificare la vulnerabilità crashano miseramente.

Siccome la iLO è fatta per restare viva anche quando il server è spento (ma è ovviamente attaccata la corrente), l’unico metodo per riprendere una iLO crashata è staccare la spina (o le spine) del server, attendere che si scarichino i condensatori e riattaccare la spina.

Chi pensa di essere al sicuro perché tanto l’URL della iLO esposta a Internet non è pubblicato è invitato a scrivere (ad esempio) "ilo" "Copyright 2008, 2013 Hewlett-Packard Development Company, L.P." (con le virgolette) nel campo di ricerca di Google.

HP ha rilasciato un aggiornamento al firmware della iLO che corregge questo problema. La iLO2 aggiornata riporta la versione del firmware 2.25 del 14 aprile 2014.

Anche se la iLO non è esposta a Internet è comunque consigliabile aggiornare il firmware.

Ho appena aggiornato due iLO di due host VMware usando la funzione di aggiornamento via interfaccia web della iLO senza avere problemi e ovviamente senza dover riavviare il server. (via ISC)

Packet of death per il controller ethernet 82574L

Albero / TreeKristian Kielhofner ha scoperto e documentato un pericoloso baco del controller Gigabit Ethernet Intel 82574L.

Se una porta ethernet gestita da questo chip riceve un pacchetto specifico, il controller ethernet si blocca come se fosse guasto: i led dei link sul controller e sulla relativa porta dello switch si spengono. Il sistema operativo crede che ci sia un errore hardware sulla scheda di rete.

Un reboot del sistema operativo o un reload del modulo kernel relativo al dispositivo non risolve la situazione: all’avvio la scansione dei dispositivi darà un errore sul controller ethernet bloccato. L’unica soluzione è togliere l’alimentazione e riaccendere il computer, rendendo vano ogni tipo di controllo remoto che non includa il controllo dell’alimentazione.

Il problema risiede nell’hardware del controller, non dipende dai driver del sistema operativo caricato.

Leggi tutto “Packet of death per il controller ethernet 82574L”

IPv6: attacco RA flood

Scala verso l'acqua / Stairway to waterSam Bowne ha scoperto e verificato sul campo che molti sistemi operativi sono vulnerabili ad un attacco di RA flood.

L’attacco, che si verifica solamente se sono attivi lo stack IPv6 e l’assegnamento automatico dell’indirizzo, consiste nel bombardare la vittima con dei pacchetti RA creati appositamente con un numero tale di informazioni da mandare in crash i sistemi.

I sistemi interessati da questo problema sono moltissimi: Microsft Surface, Android, tutti gli iPad (incluso il mini), Mac OSX, Windows 7, Windows 2008 e Windows 2008 R2.

Se viene installato l’IPv6 Readiness Update su Windows il problema viene leggermente mitigato, anche se il sistema si congela durante l’attacco, per riprendersi una volta che l’invio di pacchetti termina.

Linux Ubuntu ha passato indenne questo tipo di attacco.

Non è la prima volta che viene dimostrata una vulnerabilità dei sistemi di autoconfigurazione di IPv6. Eventuali test in un ambiente non controllato dovrebbero essere condotti per il momento senza attivare questi automatismi sugli host per evitare che qualche buontempone si diverta con uno dei tanti script che sono in circolazione.

Pubblicate alcune vulnerabilità di MySQL

Controllo siluri / Torpedo consoleL’articolo è stato aggiornato dopo la pubblicazione iniziale man mano che sono arrivati ulteriori dettagli sui problemi indicati.

Sono stati pubblicati su Full Disclosure i metodi (exploit) per attaccare i database server MySQL sfruttandone alcune vulnerabilità.

Non ho potuto verificare tutti gli exploit pubblicati in quanto non dispongo delle installazioni a cui fanno riferimento alcuni di questi metodi.

Le prove sono state fatte utilizzando come vittima un MySQL 5.1.66 a 64 bit installato dai pacchetti standard di CentOS 6, il computer attaccante è un Linux Ubuntu 12.10 collegato in LAN. Entrambi i sistemi sono aggiornati con le ultime patch disponibili. Nessuna modifica particolare è stata fatta a my.cnf sul server.

Leggi tutto “Pubblicate alcune vulnerabilità di MySQL”

Proteggere WordPress con Fail2ban

Semaforo rosso / Red lightCome molti siti basati su WordPress, anche questo subisce un sacco di attacchi.

Fino a pochi giorni fa gli unici sistemi di difesa erano dei plugin come Secure WordPress che nascondono informazioni utili a chi vuole fare un attacco, sia esso mirato o scripted.

Di recente sono usciti scanner come WPScan che non solo portano un attacco a forza bruta contro il sito, ma rieschiano anche di creare dei DoS totali o parziali a causa del sovraccarico a cui sottopongono il sistema.

Per limitare il danno degli scanner che cercano le vulnerabilità note dei plugin o dei temi di WordPress ho deciso di utilizzare Fail2ban, un tool molto versatile che permette di eseguire operazioni (tipicamente il blocco a livello di firewall) se vengono soddisfatte delle espressioni regolari applicate alle righe dei log.

Leggi tutto “Proteggere WordPress con Fail2ban”

Possibile DoS in BIND 9

Alcune organizzazioni hanno notato che BIND 9 è vulnerabile ad un attacco di tipo DoS quando risponde a query ricorsive.

È stato, infatti, notato che le versioni 9.4-ESV, 9.6-ESV, 9.7.x e 9.8.x di BIND escono in maniera anomala loggando l’errore INSIST(! dns_rdataset_isassociated(sigrdataset)) quando rispondono a determinate query ricorsive.

Sono disponibili le patch alle versioni coinvolte; le versioni che non presentano questo problema sono 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1 e 9.4-ESV-R5-P1 (via ISC).