iniqua

9jul/092

0pen0wn

government,politics news,politics news,politics

OpenOwn es el nombre del que puede ser un exploit para SSH. En el blog de isc.sans.org ha publicado correos anónimos asegurando su existencia, trazas de la ejecución del mismo y al parecer el movimiento "antisec" está detrás de todo.

La traza del ataque:

anti-sec:~/pwn# cd xpl/
anti-sec:~/pwn/xpl# ./0pen0wn -h xx.yy.143.133 -p 22
[+] 0wn0wn – anti-sec group
[+] Target: xx.yy.143.133
[+] SSH Port: 22
[~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]
sh-3.2# export HISTFILE=/dev/null
sh-3.2# id
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
sh-3.2# uname -a
Linux xx.yy.net 2.6.24.5-grsec-hostnoc-4.0.0-x86_64-libata
#1 SMP Mon Aug 25 15:56:12 EDT 2008 x86_64 x86_64 x86_64 GNU/Linux

En una segunda actualización muestran el contenido de un e-mail donde se dan algunos detalles/explicaciones sobre el exploit. Según este informador el exploit no funciona sobre las versiones actuales de SSH  y se hará público antes de BH/DC:

Expect the SSH exploit to be made public before BH/DC. I have proof that I can't share (sorry), that this exploit does exist, does not work against current versions of SSH, and is actively being used by members of the anti-sec movement.

Muy bien, todo perfecto. Con misterio y conspiraciones de por medio.

Pero a mí me surgen unas dudas.

  • ¿Cómo es que se publica esta entrada en el blog de Sans.org el día 7 de julio (Published: 2009-07-07) y la supuesta traza es de Agosto de 2008? (Mon Aug 25 15:56:12 EDT 2008)
  • ¿Cuando en la entrada de Sans.org dice "here is an anonymous email we received today" se refiere al 7 de Julio de 2009 como pone en la fecha de publicación de la entrada?
  • ¿Por qué habla el informador anónimo del BH/DC en futuro si en realidad es pasado? (¿Black-Hat DC no se celebró en Febrero?) ¿Se refiere al del año 2010? además...
  • ¿Cómo puede ser que solamente tengamos 10 entradas en google sobre OpenOwn?

Sea como fuere, esto resulta hasta divertido!

ACTUALIZACIÓN / UPDATE

Ayer (14/07/09) se publicó el código fuente de este exploit. En algunos blog podemos ver el análisis del código. Al parecer contiene en el shellcode el comando rm por tanto, mucho cuidad con las pruebas que hagais del mismo.

Os dejo los enlaces:
http://blog.zoller.lu/2009/07/0pen0wnc-shellcode-dissasembled.html
http://blogs.securiteam.com/index.php/archives/1302

[OpenSSH Rumors by Marcus Sachs sans.org]

Publicado por ffranz

Archivado en: exploits, Noticias Deja un comentario
Comentarios (2) Trackbacks (0)
  1. Popotxo
    10 julio, 2009 - 00:00

    En el ISC de SANS ya comentan que es probable que sea un FUD
    Por cierto, el BH/DC empieza este mes en Las Vegas. El BH “pasado” es el europeo, que fue en Amsterdam.

  2. ffranz
    10 julio, 2009 - 00:22

    He interpretadao que BH/DC se refería al “Black Hat DC 2009″ que se celebró en Febrero. Pero a lo mejor porque se celebró en “Washington D. C.” jejeje


Leave a comment

(required)

Aún no hay trackbacks.

» «

idioma

IPv6 detector

Still using IPv4? 38.107.179.226 Show stats

the cloud

.net backtrack crack cuda DNS DoS EQNTDC exploit filtrado firefox firewall google hacking HTTP Internet ipv6 linux MAC Malware mitm news nvidia oracle owasp paros pcapr penetration perl phishing proxy python rooted sans scapy search Seguridad Software spotify testing tool Tools trojan web win7 xss

Categorías

link's

Site map

Recent Posts

IPv4 counter

Free Software Fundation

Get Adobe Flash playerPlugin by wpburn.com wordpress themes