• Tweet

Un tipo de problema de seguridad en las aplicaciones de perl, podría conducir de acuerdo a los expertos a un ataque de negación de servicio, el cual sería muy serio.

Dyan Security alertó el martes de una "vulnerabilidad de formato de cadena" en Webmin, una herramienta de administración Web escrita en perl. Un intruso podría obtener control completo sobre los servidores ejecutando el software vulnerable, explotando los problemas de seguridad "new class", dijeron los investigadores de seguridad de la compañía en un boletín.

"Si la ejecución del código remoto es exitosa, se podría comprometer el sistema remoto en una configuración predeterminada", de acuerdo con el boletín.

Las vulnerabilidades de formato de cadena no son nuevas, pero los expertos no pensaron que tales defectos en aplicaciones escritas con perl no podrían ser usadas para ejecutar código remotamente en un sistema, dijeron expertos de Symantec y eEye Digital Security.

Tales ataques han sido posibles debido a problemas en el formato de cadena si la aplicación en cuestión fue codificada en un lenguaje de programación de bajo nivel, tal como c, de acuerdo a Symantec.

"Esta es la primera de una nueva gama de vulnerabilidades de formato de cadena", dijo Oliver Friedrichs, administrador en Symantec Security Response. "Previamente esta fue pensada para ejecutar un ataque de negación de servicio. Ahora que se encuentra para ser explotada, se incrementa su valor sustancialmente. Los intrusos están comenzando a buscarl los exploits."

Perl, un lenguaje popular para escribir código, es usado ampliamente para aplicaciones Web, en servidores que están bajo sistemas operativos Linux. Con la seguridad de los sistemas operativos mejorando, los intrusos se han enfocado en las aplicaciones Web y otros softwares para atacar los sistemas. "Teniendo enfocadas las aplicaciones Web en general, esta vulnerabilidad explotable de formato de cadena agrega otra herramienta al lado de los intrusos", dijo Steve Manzuik, gerente de seguridad en eEve, en Aliso Viejo, California.

"Los servidores Web son un buen objetivo a atacar, debido a que muchos scripts de perl están disponibles para usuarios remotos anónimos". Symantec y eEye no ha podido validar independientemente las afirmaciones de Dyan, que son sostenidas por la empresa de seguridad Immunity. Symantec, cree que las afirmaciones son verdaderas, mientras que Manzuik de eEye no está seguro todavía. "Lo tomo normalmente como un grano de sal hasta que veo realmente alguna prueba. Si resulta ser legítima, podría ser un problema muy serio", añadio.

Para proteger sus sistemas, los usuarios de Webmin primero deben actualizar a la última versión de la herramienta, dijo Friedrichs. "A largo plazo, se debe cerciorar de que se este empleando correctamente el uso de formatos de cadena en sus aplicaciones", añadió.

El formato de cadena es la forma en que el programador especifica cuantas salidas deben ser especificadas en la aplicación. Un problema ocurre cuando un programador utiliza las cadenas incorrectamente. Esto podría permitir que un intruso lea y escriba a la memoria en el sistema operativo ejecutando la aplicación, resultando la ejecución del código escogido por el intruso.

Sería demasiado anticipado decir cuál será el impacto completo del alcance de las vulnerabilidades de formato de cadena, dijo Friedrichs. "La parte concerniente a este, es que este (problema en Webmin), es realmente el primero de un número crecientemente potencial de las vulnerabilidades de formato de cadena que podemos ver", añadió.

Una forma en que el problema puede ser manejado, es por los desarrolladores de perl, quienes pueden tratar los problemas de formato de cadena mediante el mismo perl, dijo Friedrichs.