viernes, 27 de marzo de 2015

Flashback

Según un reciente informe muchas aplicaciones Flex siguen siendo vulnerables a una vulnerabilidad de hace tres años, independientemente del nivel de actualización del reproductor Flash.

Flex es un SDK (software development kit) para el desarrollo de aplicaciones RIA (Rich Internet Application o "aplicaciones de Internet enriquecidas") basadas en la plataforma Adobe Flash. Flex, aunque en la actualidad es un proyecto Open Source de Apache (Apache Flex), hasta el 2011 era un producto de Adobe (Adobe Flex), que fue donado a la Apache Software Foundation.

Los investigadores Luca Carettoni (de LinkedIn) y Mauro Gentile (de Minded Security) han descubierto que muchas aplicaciones Flex publicadas en Internet en la actualidad siguen siendo vulnerables a una vulnerabilidad del 2011. El problema (con CVE-2011-2461), fue parcheado por Adobe en su momento, a través de la actualización apsb11-25 que también fue comentada por Hispasec en una-al-dia. El fallo podría permitir a un atacante evitar la política de mismo origen y realizar ataques de Cross-Site Request Forgery.

Aunque el fallo fue corregido en su momento por Adobe, no bastaba con actualizar Flex. Tal y como explicaba el aviso de Adobe, todos los archivos compilados con alguna versión vulnerable de Flex necesitaban ser recompilados (o parcheados) con una versión actualizada para evitar la vulnerabilidad. Si el archivo SWF está compilado con una versión vulnerable de Flex SDK, un atacante podrá utilizar esta vulnerabilidad ante los últimos navegadores web y Flash actualizados.

Durante los meses de octubre y diciembre de 2014, los investigadores analizaron múltiples dominios buscando SWFs vulnerables. Sorprendentemente encontraron que muchos aun alojan archivos SWF afectados, incluyendo sitios como Google, Yahoo! o incluso la propia Adobe.

Luca (@_ikki) y Mauro (@sneak_) han desarrollado una aplicación Java, ParrotNG, que permite identificar los archivos SWF vulnerables. La herramienta se encuentra disponible desde
https://github.com/ikkisoft/ParrotNG/releases

Los investigadores advierten que aun hay muchos sitios que alojan aplicaciones SWF vulnerables y recomiendan recompilarlas con la última versión de Apache Flex SDK, parchearlas con la utilidad oficial de Adobe (disponible aquí) o directamente eliminarlas si no se usan.


Más información:

The old is new, again. CVE-2011-2461 is back!
http://blog.nibblesec.org/2015/03/the-old-is-new-again-cve-2011-2461-is.html

Presentación "The old is new, again. CVE-2011-2461 is back!"
http://www.slideshare.net/ikkisoft/the-old-is-new-again-cve20112461-is-back
https://github.com/ikkisoft/ParrotNG/raw/master/documents/Troopers%202015%20-%20The%20old%20is%20new%2C%20again.%20CVE-2011-2461%20is%20back!.pdf

una-al-dia (30/11/2011) Actualización de seguridad para Adobe Flex SDK
http://unaaldia.hispasec.com/2011/11/actualizacion-de-seguridad-para-adobe.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero



Etiquetas: , , , ,

1 comentario:

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017