La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.
Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores interconectados, permitiéndole al cliente realizar una serie de operaciones que antiguamente se debían realizar en una caja normal y con la restricción del horario.
Está de más decir que con esta vulnerabilidad encontrada es posible realizar phishing, robos de identidad (robos de cookies mediante xss) y muchas otras cosas más relacionadas con estáfas usando la confianza el sitio RedBanc.cl.
La vulnerabilidad se encuentra en la no-validación de los parametros de entrada en la URL https://www.redbanc.cl/portal_redbanc/browse?pagina=portal_redbanc/inicio.htm. Si modificamos la variable "pagina" y preparamos un javascript especialmente para el robo de cookies o bien algun sitio web externo que nos permita hacer phishing, basta con que coloquemos el código necesario y se lo asignemos a la variable.
Explicación
Cuando se cambia el valor de la variable pagina el sistema reportará que la página no existe. El mensaje de error tomará el valor que ingresamos en la variable y lo mostrará de la siguiente forma:
- En el caso de https://www.redbanc.cl/portal_redbanc/browse?pagina=veamos/si/existe/la/pagina.htm podemos ver el mensaje de error
Pagina no existe Pagina veamos/si/existe/la/pagina.htm no disponible
Si nos damos cuenta, lo que dice justo debajo de "Pagina no existe" es justo lo que pusimos como valor de la variable pagina por lo que asumimos que cualqiuer cosa que pongamos en su lugar será mostrado y por ende si inyectamos un código html éste será mostrado e interpretado por nuestro navegador.
PoC
Inyectando un código javascript:https://www.redbanc.cl/portal_redbanc/browse?pagina=
Inyectando un iframe con destino a otro sitio, el cual podría contener un sitio web maligno:https://www.redbanc.cl/portal_redbanc/browse?pagina=
(más información sobre este último punto en: Haciendo phishing explotando una vulnerabilidad XSS)
He intentado contactarme con los encargados del desarrollo del sitio pero no he obtenido respuesta. El formulario de contacto del mismo sitio web no funciona y he estado enviando correos a info@redbanc.cl (correo que aparece en el sitio web) y ni si quiera me han respondido que leyeron el correo.
Los riesgos
Los chilenos bien saben lo que es RedBanc y deberían imaginar los peligros que puede significar un fallo de este tipo en el sitio web oficial.
Explotando esta vulnerabilidad es posible robar la identidad de personas y obtener información privadas tales como nombres, rut, telefonos, números de cuenta bancaria y claves de acceso. Tratandose de un sitio web que tiene directa relacion con los bancos y tarjetas de débito es posible tambien obtener los dígitos del PIN PASS, usando un poco de ingenieria social y engañando a los usuarios con falsos e identicos sitios y formularios.
Aclaración
La vulnerabilidad fue avisada el Jueves de la semana pasada por primera vez, luego intente contactarme con ellos el día Lunes y tambien el Martes y, siendo Jueves, aún no he obtenido ninguna respuesta, ni si quiera acusando que el correo que les envié fue recibido.
ACTUALIZACIóN - 5/Mar/2010 12:30
Luego de numerosos correos enviados a la gente de redbanc reportando el error y sin obtener ninguna respuesta, decidí publicar este artículo y parece que ha dado resultado, porque la gente de Redbanc ya ha solucionado el problema, obviamente sin agradecer y sin emitir ningun tipo de comentario al respecto, simpemente solucionaron el problema como si nada ha pasado.
Buscando en Google me he dado cuenta que este sitio ha tenido esta misma vulnerabilidad en distintos scripts y y redbanc nunca dijo nada.
Es increíble que empresas de apoyo al giro bancario sigan con este tipo de problemas.
BTW, no creo que este tipo de vulnerabilidad sea para colocarlos en los Full Disclosure de las seclist....
Saludos
@MagnoBalt: Y como dice @Andres, al parecer se trata de una vuln. de hace mas de 2 años.
al final supe de ti por los mensajes del twitter.
Un cordial saludo un compatriota Chileno que te sigue desde el otro lado del charco!.
volvimos a las canchas :P
Puedo compartir algo al respecto?
En http://mail.defensa.cl:82/ dicen
USTED ESTÁ ACCESANDO AL CORREO ELECTR??NICO P??BLICO, DEL ESTADO MAYOR DE LA DEFENSA NACIONAL POR EL CUAL S??LO SE AUTORIZA TRÁFICO DE INFORMACI??N CLASIFICADA "ORDINARIA" QUE PUEDE SER P??BLICA.
LA INFORMACI??N QUE CIRCULA POR ESTE CORREO SERÁ SOMETIDA A LA REVISI??N DE SU CONTENIDO, EN FORMA ALEATORIA, PARA CONTROLAR QUE NO SE INCURRA EN FALTAS A LA SEGURIDAD O SE MAL UTILICE UN BIEN FISCAL, PARA ENVI?? DE INFORMACI??N RE??IDAS CON LA MORAL Y LAS BUENAS COSTUMBRES, Y EN GENERAL, CUALQUIER TIPO DE CONTENIDO QUE AFECTEN EL PRESTIGIO DE ESTA ALTA REPARTICI??N MINISTERIAL.
LA SEGURIDAD ES TAREA DE TODOS
...... y fijate esto:
http://mail.defensa.cl:82/cgi-bin/neomail.pl?sessionid=%22%3E%3Ciframe%20src=%22http://google.com%22%3e
Cosas que pasan, la seguridad en las aplicaciones web deja muuuuucho que desear (inclusive en sites que por definición deberían ser seguros!!!!).
Fijate que la URL vulnerable corresponde a "neomail". Neomail es una webmail gratuito, libre y de codigo abierto. Lo mas seguro es que ese bug ya este corregido, pero al parecer la versoin de ese webmail es antiguo. Fijate en esta url: http://www.securityfocus.com/bid/17728 Corresponde a una vulnerabilidad reportada y parcheada el año 2006.
Gracias por el aporte!
saludos
Sin embargo, si bien el XSS es como vos bien aclarás en una aplicación "tercera", lo que me llamó la atención es que en un lugar que debería primar la seguridad se esté usando un webmail taaaan viejo. Clásica rutina de seguridad: mantener el software actualizado!
Ya que estoy por aquí:
Hace unos días estaba mirando imágenes en http://winds.jpl.nasa.gov/imagesAnim/quikscat.cfm cuando encontré este XSS:
http://winds.jpl.nasa.gov/imagesAnim/images.cfm?pageName=ImagesAnim&subPageName=QuikSCAT&Image=QS_S1B28865%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E
Luego de googlear un ratito descubrí que se reportaron un montón de XSS dentro de páginas de la NASA, también en sites del Pentágono, etc. No es increible que este tipo de sites presenten vulnerabilidades taaaan obscenas? Por qué no validan (mejor?) la entrada?
saludos nuevamente,
javi (gracias por compartir tan buen blog, zerial!)
En todo caso por muy whitehat que se trate de ser es nada el agradecimiento de los administradores...
Saludos!