Ultraseek de Infoseek, el conocido software utilizado para la búsqueda de documentos en servidores, está afectado por un buffer overflow que permite a un atacante la ejecución de código arbitrario de forma remota. Hasta el momento se han comprobado que son vulnerables las versiones 2.1 y 3.1 para Windows NT.
El ataque contra los servidores se puede llevar a cabo a través del puerto 8765, donde Infoseek escucha vía peticiones HTTP las órdenes de búsqueda. El código del programa que maneja los comandos GET no chequea un buffer, lo que permite que pueda ser desbordado y provocar la denegación del servicio. El problema se agrava al ser posible explotar este buffer overflow para ejecutar código arbitrario de forma remota, con lo que se puede realizar cualquier tipo de acción en el servidor afectado.
Para comprobar la existencia de Infoseek en un servidor podemos realizar lo siguiente:
C:>telnet www.servidor.com 8765 enviar-> HEAD / HTTP/1.0
recibe-> HTTP/1.0 200 OK
recibe-> Server: Ultraseek/3.1 Python/1.5.1
recibe-> Date: Thu, XX Dec 1999 23:59:42 GMT
recibe-> Content-type: text/html
recibe-> Content-length: 0
El ataque consiste en enviar, a trav’s de este mismo puerto, un comando GET con una cadena excesivamente larga. La acci¢n puede pasar, en principio, desapercibida de cara al servidor, ya que no muestra ningon mensaje de error en pantalla. Lo que habr sucedido, de forma interna, es que uno de los dos servicios «dpyseekd.exe» de Ultraseek se habr reiniciado, lo que podemos detectar al comprobar como su PID ha cambiado.
Adem s de esta caracter¡stica, que lo convierte en un ataque dif¡cil de detectar a primera vista, debemos de sumar que no queda registrada en el servidor la IP del atacante que ha provocado el buffer overflow, lo que dificulta su seguimiento.
Se recomienda a todos los sistemas afectados que instalen, de forma inmediata, el parche puesto a disposici¢n por Infoseek para subsanar este problema:
http://software.infoseek.com/products/ultraseek/upgrade_nt.htm
ftp://ftp.infoseek.com/pub/software/ultraseek-3.1.5.exe
Mas informaci¢n:
USSR & eEye Present Infoseek Ultraseek Remote Buffer Overflow
http://www.securityfocus.com/templates/advisory.html?id=1984
Antonio Rom n
antonio_roman@hispasec.com
