Java y Python contienen fallos de seguridad similares que permiten a un atacante eludir los cortafuegos mediante la inyección de comandos maliciosos en el interior de FTP URL.
Los problemas surgen de la forma en que Java y Python (a través de la biblioteca urllib2 en Python 2 y urllib biblioteca en Python 3) manejan enlaces de FTP, que permiten al atacante inyectar caracteres de nueva línea (CRLF) dentro de la URL, por lo que el código Java y Python tiene algunas partes de la URL como comandos nuevos. Esto conduce a una falla que los investigadores de seguridad llaman "inyección de protocolo."
La cuestión de la inyección protocolo FTP la detalla la institución Russian security lab ONsec en 2014, pero nunca tuvo la atención del público que necesitaba. Dos informes recientes han elevado el perfil de este defecto, que describe dos nuevos escenarios de explotación.
El investigador de seguridad Alexander Klink detalla en su blog cómo el protocolo FTP fallo de inyección se podría utilizar para enviar mensajes de correo electrónico utilizando controlador de URL de FTP de Java.
Timothy Morgan Blindspot Security se adelantó y presentó un escenario explotación donde los manipuladores URL FTP en Java y Python podrían ser utilizados para eludir los cortafuegos.
Morgan también reveló que su empresa ha informado tanto al equipo de Python (en enero de 2016) y Oracle (en noviembre de 2016) sobre la falla de inyección protocolo FTP, pero tampoco han publicado actualizaciones para solucionar el problema reportado.
En el corazón del ataque de inyección protocolo FTP reside un problema mayor en el protocolo FTP en sí, que es el clásico modo de FTP.
El FTP modo clásico es un mecanismo antiguo que gobierna como interactúan los clientes y servidores FTP, donde se demostró ser inseguros en la edición #60 de la revista piratería PHRACK y más adelante se detalla con mayor profundidad por Florian Weimer.
El FTP modo clásico ha sido reemplazado por un método más seguro de las interacciones cliente-servidor FTP conocidos como FTP en modo pasivo. Sin embargo, la mayoría de los productos de firewall admiten conexiones FTP en modo clásico.
La cuestión de la inyección protocolo FTP en Java y Python se puede aprovechar para iniciar una conexión en modo FTP clásico donde los atacantes pueden utilizar para fines nefastos.
Según Morgan, todo el ataque de bypass firewall confía en convencer a los usuarios acceder a las aplicaciones Java maliciosos o Python instalados en el servidor.
Para los ataques de Java, los usuarios deben tener Java instalado localmente, pero el ataque funcionarán incluso si los applets de Java están desactivadas en el navegador del usuario. Esto se debe a que el cliente Java leerá archivos JNLP (Java Network Protocolo de lanzamiento) antes de hacer cualquier otra cosa.
"Java analiza los archivos JNLP antes de presentar el usuario con las advertencias de seguridad", explica Morgan. "El ataque puede ser totalmente exitosa sin ninguna indicación al usuario (a menos que el propio navegador avisa al usuario acerca de Java Web Start poniendo en marcha)."
El atacante sólo necesita poner una URL FTP malicioso dentro de un archivo JNLP enviado a los usuarios cuando tienen acceso a una aplicación web Java. URL de FTP múltiples se pueden colocar dentro de un archivo JNLP, lo que permite al atacante ejecutar múltiples o por etapas ataques.
Morgan dice que los ataques contra los servidores de seguridad basados en Linux, incluyen los productos comerciales vendidos por Cisco y Palo Alto Networks, probado con éxito. Se sospecha que muchos otros productos de firewall que funcionan en un sistema operativo derivado de Linux pueden ser vulnerables también.
Morgan dijo que va a liberar el código de prueba de concepto por lo que los administradores de sistemas pueden probar los servidores de seguridad después de que Oracle y Python solucionar los problemas reportados.
El investigador ha publicado una serie de recomendaciones sobre cómo manejar este problema hasta que Oracle y el equipo de Python solucionar sus problemas:
- 1 Considere la posibilidad de desinstalar Java desde todos los sistemas de escritorio. Si esto no es posible debido a los requisitos de aplicaciones de legado, deshabilitar el plugin de Java del navegador de todos los navegadores y disociar la extensión del archivo
.jnlpdel binario de Java Web Start. - 2 Considere la posibilidad de solicitar una actualización para corregir estos problemas de Oracle y la Python Software Foundation. Asegúrese de aplicar actualizaciones de seguridad para todas las versiones de Java y Python, incluidos los que se ejecutan en servidores de aplicaciones y aparatos.
- 3 Los administradores de red deben desactivar el FTP modo clásico en todos los servidores de seguridad, permitiendo sólo el modo pasivo.
- 4 Los vendedores del cortafuego deben desactivar el modo clásico FTP lo que los productos no se envían con esta opción activada de forma predeterminada.
