La utilidad NTOP incluye un microservidor web que, activado, permite que cualquier usuario con un navegador y con el conocimiento de la clave correcta pueda visualizar la salida de NTOP de forma remota y en tiempo real.
NTOP es una utilidad que permite visualizar en tiempo real los usuarios y aplicaciones que están consumiendo más recursos de red en un instante concreto, de la misma manera que la utilidad TOP muestra los procesos que estan consumiendo más CPU o memoria.
NTOP permite lanzar un microservidor web que, si bien está protegido con una clave, no comprueba la existencia de «..» en el PATH que se le está solicitando, por lo que un atacante puede leer cualquier fichero del sistema para el que el usuario que lanzó NTOP tenga privilegios de lectura.
Por otra parte, si el fichero de control de acceso no existe, cualquier usuario con un navegador puede acceder a NTOP. Lo correcto sería que si el fichero de acceso no existe, o bien se deniegue el acceso a todo el mundo, o bien NTOP debe «quejarse» al ser invocado con la orden de activar el microservidor web.
Algunos informes se_alan que bajo determinadas circunstancias, NTOP puede permitir ejecutar c¢digo arbitrario con los privilegios de ROOT, ya que parecen haberse descubirto numerosos problemas de «buffer overflow» y NTOP debe ser ejecutado como «root» (o ser SETUID a «root») para que pueda analizar el tr fico de red.
Las versiones de NTOP vulnerables son las anteriores a la 1.3.1, al menos. La recomendaci¢n es eliminar el SETUID (bandera «+s») de NTOP, de forma que s¢lo sea ejecutable por «root», y no emplear nunca la opci¢n de microservidor web.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=674
M s informaci¢n:
Linux ntop Unauthorized File Retrieval Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1550
ntop -w Buffer Overflow Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1576
Jesos Cea Avi¢n
jcea@hispasec.com
http://www.hispasec.com
