Seguridad Archivos - Ivan Zenteno

Curl | bash, Como detectar el uso en el servidor

La instalación del software mediante la canalización de curl y bash es obviamente una mala idea y un usuario bien informado lo más probable que haría es comprobar el contenido en primer lugar. Por lo tanto, ¿no sería genial si una carga maliciosa sólo se haría cuando uses curl |bash? Algunas personas han intentado esto antes mediante la comprobación de la aplicación del usuario, curl es de ningún modo a prueba de fallos – el usuario puede simplemente hacer curl al URL y en la línea de comandos revelar su código malicioso. Por suerte el comportamiento de curl (y wget) cambia cuando usas pipe (|) en bash. Esto permite que un atacante pueda presentar dos versiones diferentes de su script en función del contexto 🙂

Continue reading “Curl | bash, Como detectar el uso en el servidor”

AI2, el bot que detecta el 85% de ataques a la red

AI2, Hoy en día los sistemas de seguridad caen dentro de dos categorías: Humanos y Máquinas. Entonces los llamados “Analistas de soluciones” confían en las reglas creadas por los expertos vivientes (los humanos) y por lo tanto no se pierda ningún ataque que no coincidan con las reglas. Mientras tanto, los enfoques de aprendizaje de las máquinas se basan en la “detección de anomalías“, que tienden a provocar falsos positivos, y esto mismo genera desconfianza en el sistema y terminan siendo investigados por los humanos de todas formas.

Pero ¿y si hubiera una solución que podría fusionar esos dos mundos? ¿Qué aspecto tendría?

En un nuevo documento, los investigadores de MIT’s Computer Science and Artificial Intelligence Laboratory (CSAIL) y el startup PatternEx demuestran una plataforma de inteligencia artificial llamado AI2 que predice ataques cibernéticos significativamente mejor que los sistemas existentes mediante la incorporación permanentemente de los expertos humanos.

El nombre proviene de la fusión de la inteligencia artificial, con lo que los investigadores llaman el analista de intuición. (Analyst Intuition, AI2)

El equipo demostró que AI2 puede detectar el 85% de los ataques, que es aproximadamente tres veces mejor que los puntos de referencia anteriores, al tiempo que reduce el número de falsos positivos en un factor de 5. El sistema fue probado en 3.6 mil millones de piezas de datos conocidos como “sys logs”, que se han generado por millones de usuarios durante un período de tres meses.

Para predecir los ataques, AI2 peina los datos y detecta actividad sospechosa, agrupando los datos en patrones significativos utilizando el machine-learning. A continuación, se presenta esta actividad para los analistas humanos que confirman que los acontecimientos son los ataques reales, e incorpora la retroalimentación en sus modelos para el siguiente conjunto de datos.

Fuente: CSAIL.MIT.EDU

FBI, con problemas de contratación de hackers

El FBI está teniendo problemas para llenar puestos de trabajo para sus programas de ciberseguridad debido comparativamente a los bajos salarios y rigurosos controles de antecedentes, dice un informe de auditoría.

La oficina del Departamento de Justicia, ha publicado el jueves que el FBI no ha contratado a 52 de los 134 científicos de la computación para el que fue autorizado, y que 5 de sus 56 oficinas en el terreno no tenía un científico de la computación por su Grupo de Trabajo del Cyber.

El informe dijo que el FBI tiene que centrarse en “reclutar y retener a los profesionales cibernéticos altamente cualificados, con formación técnica”, y para ampliar la cooperación con el sector privado para luchar contra las amenazas cibernéticas.

“El reclutamiento y la retención de candidatos cualificados siguen siendo un desafío para el FBI, como entidades del sector privado a menudo son capaces de ofrecer salarios más altos y por lo general tienen un menos extenso proceso de investigación de antecedentes”, dijo el informe.

“Creemos que el FBI debería continuar sus esfuerzos de reclutamiento y retención creativas, incluyendo el uso selectivo de la (programa de pago de préstamos estudiantiles) y aumentar la movilidad de los ex empleados con habilidades críticas, para atraer y retener a profesionales altamente cualificados cibernéticos.”

El informe del inspector general dijo que el FBI ha tratado de llenar los vacíos al trabajar con contratistas privados, y también ha intensificado los programas de contratación y formación en los colegios y universidades.

El informe dijo que mientras que el reclutamiento es difícil, “la mayoría de los agentes cibernéticos del FBI que entrevistamos nos dijeron que es la misión de la FBI que les motiva a permanecer en el FBI en lugar de salir hacia posiciones más lucrativas.”

El informe parece confirmar la evidencia anecdótica sobre las relaciones difíciles entre el establecimiento y la tecnología de seguridad de la industria estadounidense, que han empeorado desde los 2.013 revelaciones sobre vastos programas de vigilancia del gobierno estadounidense.

El informe señaló que el FBI también se ve obstaculizada en sus esfuerzos para impulsar los esfuerzos de seguridad cibernética por la falta de cooperación por parte del sector privado.

“La renuencia del sector privado para compartir información se ha visto afectada además por la desconfianza en el gobierno tras las filtraciones Edward Snowden” acerca de los programas de vigilancia de Estados Unidos, según el informe.

“Varios representantes del sector privado nos dijeron que el suministro de información al FBI es similar a enviarlo en un agujero negro – la información que entra y las entidades no escuchar nada más sobre él.”

El informe dijo que el FBI debería “redoblar sus esfuerzos de divulgación para mejorar el intercambio y la colaboración con entidades del sector privado” cuando sea factible.

Fuente: SecurityWeek

ICWATCH: Espiando a los espías

Un adolescente de 21 años acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Aquí el video completo (en inglés):

Fuente: Andres Delgado

JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

GoDaddy
HostPapa
DreamHost
ClickHost
Inmotion
WPEngine
Pagely
Pressable
Websynthesis
Site5
SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Texto obtenido de Sucuri

SAT, robo de contraseñas y cobran devolución

El Servicio de Administración Tributaria (SAT) y la Procuraduría de la Defensa del Contribuyente (Prodecon) detectaron casos de robo de la identidad del contribuyente para hacer la declaración anual y después cobrar el monto de la devolución de impuestos.

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

“Se suplanta la identidad de los contribuyentes con el objeto de presentar su declaración, reportar saldos a favor de Impuesto Sobre la Renta (ISR) con información ficticia y solicitar el depósito en la cuenta bancaria de un tercero”, explicaron las dependencias en un comunicado.

Detallaron que esta problemática está lesionando gravemente los derechos de los pagadores de impuestos, en particular a las personas físicas que obtienen ingresos por sueldos.

Cuando la persona física intenta presentar su declaración anual, se da cuenta que alguien ya lo hizo utilizando su contraseña. Con ello, el delincuente obtiene saldo a favor utilizando información ficticia.

Cuando el contribuyente se da cuenta, el depósito ya está efectuado, colocándolo en un estado de inseguridad jurídica, pues ya no puede obtener su devolución y tiene que iniciar denuncia penal contra quien resulte responsable.

La Prodecon informó que prestará el servicio necesario para asesorar a los que resulten afectados por esta práctica.

Ni el SAT ni la Prodecon precisaron el monto a que ascendería el fraude, pero recomendaron a los contribuyentes cambiar periódicamente su contraseña y denunciar los casos para llevar a cabo la investigación correspondiente.

El SAT comunicó

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles, ya que cuando se da cuenta el contribuyente afectado de la suplantación de su identidad, el depósito ya está efectuado a la cuenta de quien defrauda, colocándolo en un estado absoluto de inseguridad jurídica, pues ya no puede obtener su devolución y tendría que iniciar denuncia penal contra quien resulte responsable”, dijo el SAT.

Por su parte, la Prodecon consideró “trascendental dar a conocer y advertir sobre este tipo de prácticas indebidas e informa que prestará todo el apoyo necesario para asesorar y acompañar a los afectados que decidan presentar denuncia en el proceso penal respectivo. Resulta necesario emprender acciones que sancionen a los defraudadores de los contribuyentes cumplidos”.
Fuente: AM y Jornada Unam

Using AWS in the Context of CESG UK’s Cloud Security Principles

Last year, CESG UK published the Cloud Security Guidance documents for public sector organizations that are considering the use of cloud services for handling information classified as OFFICIAL. The guidance aims to help public sector organizations make informed decisions about cloud services and choose a cloud service that balances business benefits and security risks. In relation to this, the legacy Impact Level accreditation scheme has been phased out and is no longer the mechanism used to describe the security properties of cloud services.

In order to provide you with guidance regarding the Cloud Security Principles and to make an informed decision when performing risk assessments, we have published a whitepaper called
Using AWS in the Context of CESG UK’s Cloud Security Principles.

This whitepaper provides insights into implementation and assurance approaches within AWS based on the published guidance for each of the 14 Cloud Security Principles and Subprinciples. If you are a Senior Information Risk Officer or a CESG-Listed Advisor Scheme consultant supporting a decision-making process for selecting a cloud service at a UK public sector organization, the whitepaper provides an in-depth view into the AWS implementation approach in relation to the Cloud Security Principles. Based on this information, UK public sector organizations and their information security functions can conduct informed risk assessments and select the appropriate AWS services for their cloud environment.

AWS Services

AWS currently provides the following 11 services on the UK Government Digital Marketplace:

Amazon CloudWatch – Digital Marketplace link
Amazon Elastic Block Store (Amazon EBS) – Digital Marketplace link
Amazon Elastic Compute Cloud (Amazon EC2) – Digital Marketplace link
Amazon Glacier – Digital Marketplace link
Amazon Relational Database Service (Amazon RDS) – Digital Marketplace link
Amazon Simple Storage Service (Amazon S3) – Digital Marketplace link
Amazon Virtual Private Cloud (Amazon VPC) – Digital Marketplace link
Auto Scaling – Digital Marketplace link
AWS Direct Connect – Digital Marketplace link
AWS Identity and Access Management (AWS IAM) – Digital Marketplace link
Elastic Load Balancing – Digital Marketplace link

Source: AWS Blog

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

Hopefully the WordPress team will release a patch soon.

Source: Sucuri Blog and Klikki.fi Blog

WordPress, Vulnerabilidad XSS de Plugins

Múltiples plugins de WordPress son vulnerables a Cross-site Scripting (XSS) debido al mal uso de las funciones add_query_arg () y remove_query_arg(). Estas son las funciones más utilizadas por los desarrolladores para modificar y agregar cadenas de consulta para las direcciones URL’s dentro de WordPress.

La Documentación Oficial de WordPress (Codex) para estas funciones no era muy claro y engañó a muchos desarrolladores de plugins para usarlos de una manera insegura. Los desarrolladores asumieron que estas funciones podrían escapar la entrada del usuario para ellos, cuando no es así. Este simple detalle, hizo que muchos de los plugins más populares ser vulnerable a XSS.

Hasta la fecha, esta es la lista de plugins afectados:

Jetpack
WordPress SEO
Google Analytics por Yoast
Todo en uno SEO
Formas de Gravedad
Múltiples Plugins de Easy Digital Descargas
UpdraftPlus
WP-E-Commerce
WPTouch
Descargar Monitor
Mensajes Relacionados para WordPress
Mi Calendario
P3 Profiler
Give
Múltiples productos iThemes incluyendo Builder y Cambio
Roto-Link Checker
Formas de Ninja

Probablemente hay algunos más que no hemos enumerado. Si usas WordPress, es muy recomendable que usted vaya a su panel de control wp-admin y actualizar los plugins fuera de fecha ahora.

Este problema fue identificado por primera vez por Joost de Yoast en uno de sus plugins (el hizo una gran escritura en torno a ella también). Trabajamos juntos con él para investigar el tema y está probablemente afectó mucho más plugins que sólo ese.

Nuestro equipo de investigación, junto con algunos amigos (especialmente Joost de Yoast) han estado yendo a través del repositorio de WordPress los últimos días en un intento de encontrar y advertir muchos desarrolladores de plugins como sea posible – para advertir y ayudarles a parchear el problema.

Divulgación Coordinado

Esta vulnerabilidad fue descubierta inicialmente la semana pasada, debido a los diferentes grados de severidad y lo más importante, la gran cantidad de plugins afectada, coordinamos un comunicado conjunto de seguridad con todos los desarrolladores involucrados y el equipo de seguridad del núcleo de WordPress. Fue un gran trabajo de equipo, y una experiencia agradable ver a tantos desarrolladores unidos y trabajar juntos por el bien común. Felizmente podemos decir que todos los complementos se han parcheado, y ha partir de esta mañana actualizaciones deben estar disponibles para todos los usuarios. (Sí, todo el mundo empujó sus actualizaciones al unísono hace 2 horas).

Si usas WordPress, ahora es su turno para actualizar sus plugins!

Si usted tiene las actualizaciones automáticas activadas, su sitio debería estar ya parcheado, especialmente en los casos más graves.

Hay más plugins vulnerables de WordPress

Nuestro equipo sólo analizó los 300-400 enchufes de unión superiores, lejanos de todos ellos como podría suponer. Así que hay probablemente un número de plugins siendo vulnerable. Si eres un desarrollador, compruebe el código para ver cómo usted utiliza estas dos funciones:

add_query_arg
remove_query_arg

Asegúrese de que usted se está escapando de ellos antes de su uso. Se recomienda utilizar la funciónesc_url () (o esc_url_raw()) con ellos. Usted no debe asumir que add_query_arg y remove_query_argescaparás entrada del usuario. El equipo de WordPress está proporcionando más directrices sobre cómo usarlos aquí.

Tiempo de actualización!

Si utiliza cualquiera de estos plugins, asegúrese de actualizarlos ahora! Vamos a seguir para investigar y buscar más plugins vulnerables y mantener nuestra lista aquí actual.

Este es también un buen momento para recordar a todos que todo software tendrá errores y algunos de esos errores conducirá inevitablemente a las vulnerabilidades de seguridad, tal es la vida que vivimos. Esto se aplica a los plugins, temas, servidores web, CMS de y básicamente cualquier cosa que es escrito por personas y basado en el código. Por mucho que los desarrolladores tratan de minimizarlos e implementar los principios de codificación segura, errores inevitablemente siguen sucediendo. Sólo tenemos que estar preparados y encontrar formas de minimizar el efecto de cualquier vulnerabilidad en su entorno; un ejemplo perfecto de este enfoque es lo que estamos viendo hoy con este comunicado de coordenadas.

Estos son algunos consejos y trucos para recordar para ayudar a reducir su riesgo global amenaza, ayudando a mejorar su postura de seguridad individual:

Patch. Mantenga sus sitios actualizado,
Restringir. Control de acceso restrictivo. Restrinja su directorio wp-admin a Direcciones IP puestas en una lista sólo blancas. Sólo dé el acceso admin a usuarios que realmente lo necesitan. No entre al sistema como admin a menos que realmente haga el trabajo de admin. Éstos son algunos ejemplos de políticas de control de acceso restrictivas que pueden minimizar el impacto de vulnerabilidades con su sitio web.
Monitorear. Controle sus registros. Se le puede dar pistas sobre lo que está sucediendo en su sitio.
Reducir su alcance. Utilice sólo los plugins (o temas) que su sitio realmente necesita para funcionar.
Detectar. La prevención puede fallar, por lo que recomendamos analizar su sitio para los indicadores de compromiso o software obsoleto. Nuestro plugin y Sitecheck pueden hacerlo de forma gratuita para usted.
Defensa en profundidad. Si usted tiene un sistema de prevención de instrucciones (IPS) o Web Application Firewall (WAF), pueden ayuda a bloquear los tipos más comunes de hazañas XSS. Usted puede incluso intentar nuestro propio CloudProxy para ayudarle con eso. Si te gusta la ruta de código abierto, puede intentar OSSEC, Snort y ModSecurity para ayudarle a lograr eso.

Estos principios se aplican normalmente a la mayoría de las redes seguras (o en cualquier negocio que tiene que ser compatible con PCI), pero no muchos propietarios de sitios web piensan de ellos para su propio sitio / medio ambiente.

Estos son sólo unos pocos recomendaciones de alto nivel; recomendamos ir a través de nuestro blog para obtener más ideas sobre cómo mantener sus sitios seguros y por delante de las amenazas.

Fuente: Sucuri Blog

cPanel v11.36 has now entered the CURRENT

If you see the next error into your currently update CPanel:

Can’t use string (“_defheader.tmpl”) as a HASH ref while “strict refs” in use at /usr/lib64/perl5/site_perl/5.8.8/x86_64-linux-thread-multi/Template/Context.pm line 809.

Just update your current CSF

curl -s configserver.com/free/csupdate | perl