03 septiembre 2010

MoXB - Los Meses De Los Bugs

A mediados de Agosto se anunció en el blog de exploit-db una iniciativa promovida por la empresa de seguridad informática Abysssec, la cual denominaron MOAUB - Month Of Abysssec Undisclosed Bugs (en castellano, algo así como el mes de los bugs no publicados por Abysssec), en la que, a partir del 1 de Septiembre y durante todo el mes, cada día se publicarían 0days, investigaciones, estudios con análisis de binarios y sus correspondientes pruebas de concepto, vulnerabilidades en aplicaciones web...de compañías tales como Microsoft, Apple, Adobe (no podía faltar, de este por desgracia se va a poder hacer hasta un YoAB...), etc.

Además de utilizar la propia página de la compañía para ir anunciando todas sus publicaciones, su principal plataforma con todos los detalles e informaciones sería la propia exploit-db, web por excelencia de recopilación de exploits, papers y demás (tras la desaparición para siempre del proyecto milw0rm).

Pues bien, ya nos encontramos recién comenzado Septiembre, y de momento ya contamos con 4 advisories. En un principio, personalmente creía que se publicaría una vulnerabilidad al día, pero a fecha 2 de Septiembre, llevan un ritmo de 2 por día. Para el día 1, se han publicados dos advisories: uno de Cpanel que permite saltarse restricciones de seguridad (impuestas por mod_security u otros mecanismos) y otro con ejecución de código remota y local tanto en Adobe Acrobat Reader como en Flash Player. Para el día 2, Abysssec publicó una ejecución de código en Apple Quicktime y un buen conjunto de graves vulnerabilidades web que afectan al software de creación de portales Rainbowportal.


Lo más llamativo es la cantidad de detalles que se dan sobre la vulnerabilidad para cada una de ellas, y parece que es algo que seguirá presente en todo lo que vayan publicando. No se limitan a comentar por encima la función vulnerable y publicar el exploit o PoC, son advisories con alto nivel de detalle técnico sobre la vulnerabilidad.

No es la primera vez que se realizan iniciativas de este tipo, las llamadas Month Of Bugs: que durante un mes entero, un investigador o grupo de seguridad se dediquen a publicar vulnerabilidades de un producto en concreto, servicio, fabricante o compañía.
Muchos opinan que se tratan de estrategias de marketing y promoción, pero lo que está claro es que dan sus frutos, y nos mantienen un mes más que entretenidos.