Java: 4 años de actualizaciones inseguras
Hace tiempo que usar Java en una empresa da la impresión de que es para valientes. Desde que se levantó la libre de que los kits de explotación estaban haciendo más uso de vulnerabilidades en Java que de productos Adobe para distribuir malware, todo el mundo comenzó a preocuparse un poco más por esta plataforma tan popular y extendida de desarrollo de aplicaciones.
Entre los movimientos relativos a Java más llamativos estuvo el cambio de política de Apple que hasta la versión Mac OS X Snow Leopard había llevado Java como bandera y que con el lanzamiento de Mac OS X Lion este verano decidió convertirlo en un Opt-in, al mismo tiempo que discontinuó el soporte para Mac OS X Leopard - SO que se vendió hasta hace 2 años -, dejándolo también sin soporte para parches de seguridad Java.
El uso de Java en una plataforma Mac OS X o Linux es usado también como base para el lanzamiento de exploits con metasploit contra estas tecnologías, ya que este trae un meterpreter escrito en Java que ayuda a unificar el proceso de explotación, que aunque no es igual que la versión de Windows, sí que trae un buen número de comandos.
Sin embargo, en el uso de esta plataforma dentro de la empresa, y dejando de lado que haya vuelto a quedar mal en un estudio centrado en análisis de vulnerabilidades en programas, la plataforma Java tiene un problema con las actualizaciones que conoce desde el año 2007 y que no ha solucionado: Es vulnerable a Evilgrade.
Las técnicas de evilgrade fueron publicadas por Francisco Amato en la Ekoparty del año 2007 en una charla a la que tuve el gusto de asistir. A grandes rasgos, la vulnerabilidad radica en que el actualizador del software de un programa que se tiene instalado en la máquina no comprueba correctamente el software a instalar, y un atacante puede ejecutar un troyano, o un meterpreter. Aquí, tenéis un ejemplo con MacPorts, que también es vulnerable a evilgrade. Son muchos los programas vulnerables a evilgrade, y es por ello que unimos la técnica de DNS Cache Snooping aFOCA para mirar qué software era vulnerable a evilgrade en una empresa de forma remota.
Y a esto es vulnerable Java.
Contenido completo en: Un Informático en el Lado del Mal
Entre los movimientos relativos a Java más llamativos estuvo el cambio de política de Apple que hasta la versión Mac OS X Snow Leopard había llevado Java como bandera y que con el lanzamiento de Mac OS X Lion este verano decidió convertirlo en un Opt-in, al mismo tiempo que discontinuó el soporte para Mac OS X Leopard - SO que se vendió hasta hace 2 años -, dejándolo también sin soporte para parches de seguridad Java.
El uso de Java en una plataforma Mac OS X o Linux es usado también como base para el lanzamiento de exploits con metasploit contra estas tecnologías, ya que este trae un meterpreter escrito en Java que ayuda a unificar el proceso de explotación, que aunque no es igual que la versión de Windows, sí que trae un buen número de comandos.
Sin embargo, en el uso de esta plataforma dentro de la empresa, y dejando de lado que haya vuelto a quedar mal en un estudio centrado en análisis de vulnerabilidades en programas, la plataforma Java tiene un problema con las actualizaciones que conoce desde el año 2007 y que no ha solucionado: Es vulnerable a Evilgrade.
Las técnicas de evilgrade fueron publicadas por Francisco Amato en la Ekoparty del año 2007 en una charla a la que tuve el gusto de asistir. A grandes rasgos, la vulnerabilidad radica en que el actualizador del software de un programa que se tiene instalado en la máquina no comprueba correctamente el software a instalar, y un atacante puede ejecutar un troyano, o un meterpreter. Aquí, tenéis un ejemplo con MacPorts, que también es vulnerable a evilgrade. Son muchos los programas vulnerables a evilgrade, y es por ello que unimos la técnica de DNS Cache Snooping aFOCA para mirar qué software era vulnerable a evilgrade en una empresa de forma remota.
Y a esto es vulnerable Java.
Contenido completo en: Un Informático en el Lado del Mal
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!