(Este post ha sido elaborado por Luis Martín Liras y Aaron Flecha Menéndez)

El pasado Martes 29 se hacía público por parte del investigador Mohammad Reza Espargham una “vulnerabilidad” (si, con comillas) de ejecución remota de código en la aplicación Winrar para Windows. En concreto en su explicación se mencionaba que la “vulnerabilidad” estaba presente en la última versión (5.21) para windows tanto para 32 como para 64 bits.

Como si de una bola de nieve se tratase, se fue expandiendo la noticia por toda la red y muchas empresas, entidades y sitios web la explicaron como si una importante vulnerabilidad se tratara. Y no es para menos, podría tratarse de un grave problema si no fuera por una serie características que la limitan.

Pero desde entonces muchos investigadores de más o menos renombre han proclamado que no se trata de una vulnerabilidad. De hecho, en una nota del equipo de soporte de Winrar, se hacía saber que muchas de las cosas que se estaban escribiendo eran inciertas.

[Read more…]

Hace unos días veíamos las estadísticas que habíamos obtenido de los servidores web, lo que evidenciaba la gran cantidad de trabajo que queda por hacer. Sin embargo, como veremos a continuación, ese no es el único problema.

Tecnologías web

No todos los servidores responden sobre las tecnologías web que albergan (ASP, PHP, etc). De los 914.903 dominios en los que nos estamos basando, solo 395.828 respondieron a esta consulta y de ellos sacamos estas tecnologías:

• PHP: 216.066.
• ASP.NET: 111.171.
• Plesk: 57.383.
• Otros: 11.208.

[Read more…]

Hace unas semanas veíamos que casi 100.000 dominios “.es” están mal configurados y permiten la transferencia de zona. Siguiendo con la entrada anterior, ésta sobre la vulnerabilidad a heartbleed o ésta sobre la vulnerabilidad a FREAK de los dominios “.es”, el siguiente paso consistió en obtener la información de:

• Servidores Web.
• CMS Instalados.
• Tecnologías web (ASP, PHP…) existentes.

Para ello se ejecutó el script python whatweb contra todos los dominios “.es”, de manera que se almacenaran en una base de datos MySQL los resultados. El proceso tardó más de un mes (del 19 de marzo al 28 de Abril) en realizarse (estamos hablando de 1.7 millones de dominios .es) y la verdad es que los resultados fueron muy interesantes.

Como disclaimer previo, decir que la información obtenida para el estudio es accesible para cualquier usuario de Internet y que los datos fueron obtenidos de la manera menos agresiva posible, con una única petición HTTP.

[Read more…]

El problema

El pasado 13 de Abril de 2015 el US-CERT publicaba una alerta informando de que “Las peticiones AXFR podrían filtrar información referente a los servidores de dominio“. La comunidad cuando menos se rascó la cabeza pensando en qué estaba pensando el US-CERT. De hecho, este comportamiento fue reportado ya en 1997 por el NIST.

Las peticiones AXFR a servidores de nombres permiten replicar bases de datos DNS entre distintos servidores DNS. Las entidades por lo general tienen al menos dos servidores DNS (un primario y un secundario) que les permiten seguir disponiendo de servicio de nombres en caso de que el primario caiga. Por esta razón es importante que todos los servidores de nombres de una organización estén sincronizados. Esta sincronización se consigue mediante las peticiones XFR. Existen dos tipos de peticiones XFR, la incremental (IXFR) y la completa (AXFR), que envía al secundario toda la información de DNS local (lo que se conoce como la zona) que tiene el servidor primario. A este proceso se le conoce como “Transferencia de Zona“.

[Read more…]