La URL vulnerable es http://tvndeportes.cl/intersitial/index.html?link=, a “link” podemos asignarle cualquier URL y el navegador será redireccionado a esa URL. Por ejemplo:

http://tvndeportes.cl/intersitial/index.html?link=http://sitio.webmaligno.com/pics/pics.exe

Quizá este método solo nos permita redireccionar a un usuario y nada mas, pero con un poco de imaginación y trabajo, perfectamente ese usuario podría ser engañado por email para ingresar a un sitio confiable de TVN y redirigirlo a un sitio de streaming falso, donde le haga aceptar la descarga de un archivo (troyano) para que pueda ver el video. Aprovechandose de todo esto del mundial, la locura por ver los partidos en alta definicion, perfectamente un atacante podría insitar a un usuario a descargar un programa para poder ver el partido, desde el sitio de tvn, en alta definición y gratis, obviamente “ese” programa sería un virus o algo similar.

Compartir/Guardar

Estimado Fernando:

Me dirijo a usted como representante de la Empresa E-Sign, en mi calidad de Gerente de Operaciones,  para comentarle algunos de los alcances que ha tenido para nosotros el  reporte de vulnerabilidad XSS que usted ha publicado a fines de la semana pasada.  Con su información hemos verificado los errores reportados, y nuestros programadores se encuentran trabajando en la revisión y corrección de otros posibles problemas. Específicamente, aquellos relacionados con el “contacto.php” se corrigieron el 30 de Abril en la tarde.

Le agradecería que, en el caso de detectar una nueva vulnerabilidad o la posibilidad de ella en nuestro sitio, lo informe directamente a mi correo particular o telefónicamente a la empresa. Asimismo, le solicitamos que nos dé un  espacio de tiempo suficiente para corregir el problema, antes de publicarlo en internet.

Finalmente, a nombre de E-Sign, quisiéramos agradecerle su nota y enfatizar que tomaremos todas las medidas necesarias para evitar que este tipo de problemas vuelvan a ocurrir.

Creo que es una buena respuesta y es la forma en que deberían actuar las empresas cuando se les informa sobre algún fallo, bug o vulnerabilidad que los afecta.
Podemos ver que el enlace vulnerable: https://www.e-sign.cl/contacto.php?prefilla=%22%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E ya no se ve afectado.

Compartir/Guardar

Este sistema de pago del transporte público de Santiago, tiene un sistema que nos permite monitorear en línea los saldos y los movimientos de nuestra tarjeta y de ésta forma saber dónde cargamos con dinero la tarjeta, en qué buses o metro la usamos, cuánto salgo nos queda, etc. Este sistema no es en tiempo real por lo que asumo que no saca los valores directamente de la base de datos del sistema de transporte, además desconozco si tiene permisos para escribir en la base de datos o solamente leer.
El sistema tiene un bug que nos puede permitir, con un poco de ingenio, hacer un ataque de denegación de servicio distibuido (DDoS) y dejar el sistema (de saldos y mov. en linea) offline y posiblemente realizar inyección de código SQL (SQL-Injection) . No me he puesto a investigar que otro impacto podría tener.

El sistema nos permite ver la cantidad de movimientos y saldos de nuestra tarjeta por periodos de mes actual, 60 y 90 días, sin embargo, es posible modificar esos valores alterando el atributo “value” del elemento del formulario. Si, así de sencillo.

Código HTML original:

Mes Actual
60 dias
90 dias

Pruebas de concepto (PoC)

1. Modificamos el valor de “Mes Actual” por un número negativo.

Mes Actual
60 dias
90 dias

Y ejecutamos la consulta:

2. Modificamos el valor de “Mes Actual” por el número 5.

Mes Actual
60 dias
90 dias

Y ejecutamos la consulta:

Si se fijan en la fecha, podrán ver que sólo se mostró información desde hace 5 días.

3. Modificamos el valor de “Mes Actual” por una comilla para generar un error de sintáxis:

Mes Actual
60 dias
90 dias

Y ejecutamos la consulta:

Si cambiamos el valor de “Mes Actual” a uno muy alto, por ejemplo 99999999999999999999999999999999999999 podemos ver cómo el sistema ya comienza a comportarse de forma extraña, por ejemplo ver la fecha:

Operación: Cartola de movimientos
Tarjeta bip!: 6547XXXXX
Fecha: 11/02/2010 10:57
Movimientos desde: 90/37/-2.7

De ésta forma podemos manejar arbitrariamente la consulta.

Queda más que demostrado que el famoso sistema para ver los saldos y movimientos en línea de la tarjeta bip no está validando los parametros de entrada y con un poco de ingenio podemos realizar distintos tipos de ataques. Se pueden generar simultaneamente consultas pesadas en el servidor, provocando su caída. Tambien, con un poco más de conocimientos y habilidades es posible lograr la inyección de código sql en la consulta.

Compartir/Guardar

En Chile lanzaron un proyecto de ley para la protección de datos personales, luego de diversos hackeos ocurridos, donde se “publicó” información de millones de chilenos desde sistemas de información del servicio electoral y junaeb, entre otros. Lo que quieren hacer con éste proyecto de ley, es “aumentar las sanciones a quienes resulten responsables” y “entregarles las facultades a las distintas entidades afectadas para que puedan dar garantías“. Irónicamente, la ley sólo protegerá a quienes hagan mal su trabajo y no a los afectados, las entidades públicas que no sepan proteger la información privada de las personas, tendrán ahora una ayuda desde el gobierno para que nadie pueda hacer públicas sus fallas y, por ende, las personas afecetadas jamás sabrán que sus datos son públicos.

Una de las preguntas que me hago es ¿Si son privados los datos, entonces por qué son de acceso público?
Existen muchas entidades públicas y privadas que simplemente no protegen la información, formularios sin captchas, acceso a información mediante el RUT o con usuarios y password basadas en el rut. Para los que no saben, el RUT cumple con un patrón y generar millones y millones de RUT es tan fácil como sumar dos números.

En un principio, fue la ” base de datos” del Servicio Electoral (servel) la que fue publicada, sin embargo, era posible acceder a ella sólo con el RUT. Cualquier persona puede probar distintas combinaciones de números e ir recolectando información manualmente, una persona con conocimientos más avanzados podrá crear un script que automatice ésta tarea de tal forma que recopile la información más rápido.

< ?
function valida_rut($r)
{
        $r=strtoupper(ereg_replace('\.|,|-','',$r));
        $sub_rut=substr($r,0,strlen($r)-1);
        $sub_dv=substr($r,-1);
        $x=2;
        $s=0;
        for ( $i=strlen($sub_rut)-1;$i>=0;$i-- )
        {
                if ( $x >7 )
                {
                        $x=2;
                }
                $s += $sub_rut[$i]*$x;
                $x++;
        }
        $dv=11-($s%11);
        if ( $dv==10 )
                $dv='K';
        if ( $dv==11 )
                $dv='0';
        if ( $dv==$sub_dv )
                return true;
        else
                return false;
}
$rut = 10000000;
$i = 1;
$dv = 0;
for($i = $i; $i < = 11; $i++)
{
        if($i == 11) $dv = "k";
        else $dv = $i;
        for($rut = $rut; $rut <= 20000000; $rut++)
        {
                $full_rut = $rut."-".$dv;
                if(valida_rut($full_rut) )
                        print $full_rut."\n";
        }
}
?>

Con este script generamos RUTs consecutivos con su respectivo dígito verificador, es decir, números RUT válidos.

[...]
10004366-1
10004383-1
10004397-1
10004402-1
10004416-1
10004433-1
10004447-1
10004450-1
10004464-1
10004478-1
10004481-1
10004495-1
10004500-1
10004514-1
10004528-1
10004531-1
10004545-1
10004559-1
10004562-1
10004576-1
10004593-1
10004609-1
[...]

Otro hackeo conocido fue el que se le ha hecho a la Junaeb en distintas oportunidades, tambien tiene relación con este tema, ya que es información obtenida en base al rut de las personas. Existen muchas páginas dónde podemos encontrar información “personal” ingresando sólo éste nombre, por ejemplo el de la autopista vespucio norte, que con sólo tener el rut es posible obtener los partes, patente y cuanto vehículos tiene una persona. Pueden ver el artículo que escribió Ivan al respecto: Bug en sitio de empresa avn.cl, Avenida Vespucio Norte.

Yo me sigo preguntando, ¿Si mis datos “personales” son “privados”, entonces por qué mierda son accesibles para cualquier persona?

El proyecto de ley que se está gestando busca aumentar las sanciones a las personas que hagan pública la información que, con mucho esfuerzo, recopilamos, pero lo que yo busco es que las sanciones sean para las personas que NO cuidan esta información, por negligencia. Deberían crear estándares para el manejo de información personal y privada de las personas y la gente que esté a cargo de éstos estándares deben ser personas altamente capacitadas.

Hace unos meses escribí sobre cómo obtener información en NIC Chile, pudiendo crear una base de datos nombre-rut. NIC Chile se descartó y dijo que correspondía a una caracteristica y no a un error, ni si quiera fueron capaces de poner captcha al sistema de registro de dominios.

Compartir/Guardar

Cuando comencé a escribir sobre éste sitio web, existía una vulnerabilidad de descubrimiento del path (Full Path Disclosure) junto a un SQL Injection y un XSS, dentro de un “plugin” hecho para las votaciones lo que luego fue corregido, no logré sacar screenshot y ejemplos para demostrarlo. Que hayan corregido éstos errores es un punto a favor para la seguridad del sitio. Vamos a ver hasta qué punto podemos poner a prueba la seguridad.

Es un sitio hecho en WordPress, por lo cual ya sabemos las rutas de los archivos y las posibles vulnerabilidades que podría tener el sitio. Por ejemplo, podemos empezar probando con el clásico wp-login que es el script que nos permite iniciar la sesión, descubrir una lista de usuarios, hacer fuerza bruta, etc. Nos vamos a la URL

http://www.marco2010.cl/wp-login.php

Y como podemos ver, ya nos aparece el formulario para iniciar la sesión. Para éstos casos, existe un truco y es probar siempre con el usuario admin, para ver si lo tienen habilitado, ya que es el único usuario que viene por defecto.

Como podemos ver en el recuadro de “error“, nos dice que la contraseña es inválida, por ende, asumimos que el usuario está correcto. Ya sabemos que existe el usuario admin, ahora solo falta romper la password. Mientras dejamos un script de fuerza bruta corriendo, tambien podemos intentar averiguar más usuarios dentro del sistema, hasta llegar con alguno que tenga una password más fácil de romper con el cual podamos ganar acceso al dashboard del sitio.

Hay que tener en cuenta que ultimamente se han estado realizado muchos ataques por fuerza bruta a distintas instalaciones de wordpress. Pueden leer más sobre esto en el artículo titulado:

Distributed WordPress admin account cracking

Si bien la mayoría de los sitios en wordpress (incluyendo el mio) tienen este tipo de “fallo”, considero que es agujero de seguridad y que debería implementarse por último un htaccess.

Otra cosa que me llamó la atención es que los desarrolladores del theme marcoenriquezominami han desarrollado instalado un sistema de votacion o encuestas el cual lo han dejado dentro del directorio del theme. Toda la gente que ha desarrollado alguna véz en WordPress, sabrá que para éste tipo de cosas, debería crearse un plugin. El sistema que estos tipos descargaron e instalaron es el Advanced Poll 2.08, si  buscamos en google podemos ver que las versiones anteriores tienen diversas vulnerabilidades y que para descubrir alguna, basta con que descarguemos el codigo y sepamos como explotar algun fallo no reportado.
La URL para manejar las encuestas es:

http://encuestas.marco2010.cl/admin/

Si bien lo que les mostraré a continuación no es un “fallo de seguridad”, si nos va a permitir  ver cosas que quizá ellos no quieren que veamos, como la lista de archivos subidos, etc. Directory Listing:

• http://web.marco2010.cl/wp-content/uploads/
• http://web.marco2010.cl/wp-content/plugins/downloads-manager/upload/

Tambien tiene un wiki disponible en http://wiki.marco2010.cl.

Como conclusión, lo único que les puedo decir es que la seguridad del sitio va a depender de la seguridad de WordPress, Advanced Poll y de Wikimedia.
Si bien el sitio es “seguro”, será lo suficientemente vulnerable a medida que se vayan publicando bugs de las herramientas que nombré anteriormente.
Por ejemplo, cuando se publicó el DoS que afectaba al wp-trackback, éste sitio era completamente vulnerable. Yo mismo lo probé antes de que lo actualizaran.

Actualizado (10-12-2009) La persona encargada se contactó conmigo y acogieron mis recomendaciones.

Compartir/Guardar

Si no me equivoco, esta ley está vigente desde el 28 de Mayo de 1993 y de hecho, creo que a estas alturas esta bastante anticuada.

Artículo 1º.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.

Artículo 2º.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.

Artículo 3º.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.

Artículo 4º.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”.

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la República.- Francisco Cumplido Cereceda, Ministro de Justicia.

A continuación analizaré uno a uno los artículos anteriormente escritos:

El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.

Al leer el primer párrafo, lo primero que se me viene a la mente es un ataque de denegación de servicio, pero si lo analizo más profundamente, hace referencia a “destruir, inutlizar, obstaculizar o modificar funcionamiento” lo que perfectamente podría ser un ddos, deface o borrado de información, es decir, en Chile el defacement y los ataques de denegación de servicio (DoS) está penado por la ley.

El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.

Este tema para mi es muy delicado. Uno puede ingresar a un sistema de distintas formas, bypaseando un sistema de autentificación, ingresando un usuario y clave conocida (obtenida de algun lugar), etc. El punto es lo que la persona haga con esa información, si yo ingreso a un sistema informatico y me robo la información y la uso para beneficio propio, lucro con ella o algo por el estilo, claro que esta mal, pero desde mi punto de vista, si las personas no fueron capaces de proteger la información “privada” y cualquiera puede acceder a esa información, entonces es información pública, ya que perfectamente se podría ingresar mediante Google. Hay veces que por escribir mal una url te encuentras con información que no debes estar viendo.
Mi pregunta es la siguiente, ¿Qué sucede si encuentras un directorio con el listado de archivos habilitado, en el cual hay archivos y bases de datos listas para ser descargadas y se lo pasas a un “amigo”, esta persona sin saber lo que es, comienza a descargarlo y esto comienza a difundirse, esa persona “amigo” esta cometiendo un delito? Ahora que están tan de moda los servicios de acortamiento de URL, ¿qué pasa si acorto una url y la envio a una masa de gente haciendolos caer en una trampa? ¿Qué sucede si tengo acceso a un servidor y con hacer “ls -liar /home” encuentro información que para otras personas es privada?

El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.
Completamente de acuerdo.

El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”.

Se hace referencia de forma explícita a quien lo haga de forma maliciosa, aqui entramos en una discusión mas o menos, ya que quien define qué cosa es malicioso o no?
Pongamonos en este caso, yo ingreso a un sistema y descubro que existe currupción en alguna organización y decido hacer pública dicha información, obviamente para la gente corrupta esto es algo malicioso, pero para la otra gente no.
En este blog existe mucha información relacionada con empresas, jamás lo he hecho de forma maliciosa, sinmo que educativa y para hacer un juicio público sobre los servicios “informaticos” que se ofrecen en Chile, pero perfectamente esas empresas podrían hacer algo contra mia, ya que para ellos es algo malicioso.

En este país (al igual que en muchos otros) falta humildad por parte de las empresas, por parte de los “expertos”, muchas veces un desarrollador, jefe de proyecto o jefe de area no reconoce un error y prefiere hacerse el imbécil y mirar hacia otro lado antes de aceptar una critica o aceptar que su sistema es vulnerable. Si fuesen profesionales para sus cosas, los sistemas de manejo de información en Chile serían de muy buena calidad.
Encuentro que este tipo de leyes son nada mas algo para encubrir la poca preocupación por temas de seguridad, la ignorancia y poco profesionalismo de algunos desarrolladores y de gente encargada de la seguridad que piensan que teniendo un firewall de $1.000.000USD y ejecutando aplicaciones de test de seguridad, instalando antivirus esta todo solucionado.

En fin, mi conclusión: Esta ley para lo unico que sirve es para fomentar la no-preocupación por la seguridad informática.

Link:
Delitos Informaticos

Compartir/Guardar

Tambien me gustaria emitir un comentario personal; las empresas que se dedican a realizar sitios, diseños de “última generación”, web 2.0, web marketing, etc etc y que dicen ser expertos en la captación de clientes, saben cómo navega un usuario en su sitio, etc siempre dejan de lado la seguridad y generalmente no tienen a gente altamente capacitada para programar o adminsitrar un servidor y es este motivo el que me da ganas de romperles la seguridad del sitio, de buena manera, obviamente.

Ya, vamos a la acción…

Como de costumbre, ingresamos al sitio y no nos dedicamos a recorrer las promociones, ni nada porque no nos interesa, lo que realmente nos interesa es encontrar links candidatos a ser explotados, si nos damos una vuelta rápida por el sitio vamos a encontrar rapidamente dos enlaces:

http://www.webseo.cl/formulario.php?plan=DWamedidad&tipo=contizar
http://www.webseo.cl/noticia_detalle.php?id=1

Vamos a destripar la primera url, intentando provocar un error, incluir ficheros loales/remotos, etc. Luego de intentarlo un par de veces nos damos cuenta que no es vulnerable (a simple vista) por lo que, para no perder el tiempo, nos vamos directamente a la segunda url, lo que primero se nos viene a la cabeza es un sql injection, pues intentemoslo:

El query select n.idnoticias, n.titulo, n.fecha_ingreso, n.foto, r.resumen, d.descripcion, c.idcategorias, n.categorias_idcategorias, c.nombre, n.estado, a.archivo from vmst_noticias n, vmst_resumen r, vmst_descripcion d, vmst_categorias c, vmst_archivo a where c.idcategorias=n.categorias_idcategorias and d.noticias_idnoticias=n.idnoticias and r.noticias_idnoticias=n.idnoticias and c.idcategorias=’1′ and n.idnoticias=a.noticias_idnoticias and n.idnoticias=’ and n.estado=’SI’ el inválidoYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘SI” at line 1You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘SI” at line 1

Ya tenemos el query, las filas, tablas, etc. Este mensaje de error nos facilitará la vida, vamos por las tablas que nos interesan, usuarios, password, etc etc. Encontramos las siguientes tablas:

vmst_archivo
vmst_bannear
vmst_administrador

Ya tenemos lo que nos interesa, la tabla vmst_administrador. El siguiente paso es obtener las columnas y luego la información:
Las columnas encontradas son email y pass las cuales contiene la siguiente información:

email | pass
cyenes@webseo.cl | 654321

Si hacemos un whois al dominio, podemos ver que el dueño se llama “CHRISTOPHER JOHN YENES BURGOS” y el email es cyenes@webseo.cl lo que podemos concluir, que ese email corresponde al dueño de la empresa. Si nos fijamos en la clave, corresponen a numeros desde el 6 hasta el 1 lo que es extremadamente fácil y entonces nos preguntamos

¿Si el dueño de la empresa usa password tan tontas como esas, queire decir que no confia en el sistema, entonces por que nosotros debemos confiar en él (ademas estan en exto plano!!!!)?

De lo contrario, si esta persona si confiara en sus sistemas, entonces ¿Por qué usa password tan fáciles y texto plano?

Ya habiendo encontrado este tipo de vulnerabilidad y habiendo concluido esto, queda claro que WebSeo no es una empresa de confianza, no demuestra profesionalidad.

Vulnerabilidades detectadas: SQL Injection.
Alcance de las vulnerabilidades: Recorrido de tablas y columnas, obtención de datos de las tablas.
Errores detectados: Passwords sin encriptación, no existen filtros de entrada en las URL.

Compartir/Guardar

Así es, el sitio web de Gendarmedia en Chile, expone los datos de sus usuarios al público. Me parece muy mal que estas cosas sucedan en sitios del gobierno, deja mucho que desear en cuanto a la privacidad de la información y seguridad informática.
Me llama mucho la atención que cuando ingreso al sitio y voy a la sección de “Politica de Privacidad” donde podemos leer el siguiente mensaje:

Y por otro lado me encuentro con esto:

Ademas de esta información, lo que se deja público son los correos o el mensaje que las personas dejan mediando los fomrularios de contácto del sitio web de Gendarmeria, además de todos los correos y nombres de las personas que utilizan este formulario de contacto.
Realmente lo encuentro vergonzoso.

Compartir/Guardar

Los sitios afectados son:

• lagirouette.cl
• maristas.cl
• elrancuaguino.cl
• laguiachile.cl
• educagratis.cl

1. lagirouette.cl

La vulnerabilidad XSS está en un script llamado titulos.php ubicado en la raiz, recibe un string como parámetro por la url y lo muestra como html.
http://www.lagirouette.cl/titulos.php?mensaje=codigo malicioso
El script parsea y escapa las comillas dobles y simples, pero no es capáz de parsear los caracteres tales como mayor o menor que (<>), de esta forma podemos insertar un “iframe” que perfectamente podría incluir un sitio malicioso con técnicas de phishing

2. maristas.cl

Igual que el anterior, el fichero se llama EnvioContrasenaPorCorreo.php y no escapa caracteres tales como mayor o menor que, teniendo un efecto identico al anterior.
http://www.interactivo.maristas.cl/EnvioContrasenaPorCorreo.php?Sigla=IAE&Mensaje=codigo malicioso&Rut=&DV=

3. elrancuaguino.cl

Este sitio tambien parsea las comillas pero no los signos mayor o menor que. Recibe por parametro el keyword a buscar. Si nos fijamos en el detalle de que ademas de buscar lo que le digamos, le asigna la palabra de busqueda como value al input de búsqueda, lo que podemos manejar para cerrar ese tag y abrir uno nuevo, por ejemplo “><iframe http=http://www.google.cl>

http://www.elrancaguino.cl/buscar/index.php?q=codigo malicioso

4. laguiachile.cl

Esta y el siguiente sitio, tiene las mismas vulnerabilidades que los anteriores, explotable de la misma forma debido a los mismos fallos.
http://laguiachile.cl/buscar.php?c=codigo malicioso

5. educagratis.cl

http://www.educagratis.cl/buscar.php?busqueda=codigo malicioso

Compartir/Guardar

Me gustaria hacer una observación a todas las empresas que se dedican al desarrollo de aplicaciones web: Existen frameworks muy buenos, libres y gratuitos y aveces conviene mucho más entender ese framework y no hacer uno propio.

El error que cometen muchas empresas como ésta es que, al usar un mismo framework (desarrollado por ellos mismos), para todos sus clientes, cuando se encuentra una vunlerabilidad en almenos 1 sitio, este mismo fallo se aplica automaticamente a todos sus clientes y de esta forma ponen en riesgo ademas de sus clientes, a los clientes de otras empresas (cuando comparten un mismo servidor de hosting).

Les voy a hablar sobre la empresa GoldenData Ltda., quienes se dedican al desarrollo web. Antes de publicar y decir cualquier cosa, quiero aclarar que yo me comuniqué con estas personas para darles a conocer sus fallos de seguridad en todos y cada uno de sus sitios web obteniendo un cierto interes por parte de ellos para solucionar el problema. En un principio les comenté sobre la falla en su sitio web lo que me respondieron:

Actualmente estamos rediseñando todo el sitio web, así que el sitio actual será desechado en el corto plazo.

Días despues, les envié otro correo electrónico para comentarles que esa falla que tenian en su sitio web se replicaba a todos y cada uno de los sitios de sus clientes, obteniendo la siguiente respuesta:

De verdad me interesa el tema, pero actualmente estoy realmente
colapsado, ya que se juntaron muchos proyectos y temas internos. Voy a
aumentarle la prioridad a ese tema. Estamos en contacto. Saludos!

Ya ha pasado casi un mes desde el primero correo electrónico que les envié y no han solucionado el problema, por lo que no me sentiré mal al publicar sus falencias.

Las vulnerabilidades que afectan a este sitio web son: XSS, FullPath Disclosure, y File Disclosure.

La primera puede ser explotada en la url http://intranet.goldendata.cl. Al introducir un usuario incorrecto podemos ver en la barra de dirección que se pasa por parametro el mensaje “Usuario Incorrecto” mediante la variable $err. El sistema está imprimiendo en bruto el contenido de esa variable, de esta forma el atacante puede modificarla e insertar código arbitrariamente. Ejemplo:

http://intranet.goldendata.cl/index.php?err=%3Cscript%3Ealert(%27Prueba%20XSS%27)%3C/script%3E

Al poder ingresar codigo javascript podemos robar cookies de sesiones, ingresar links falsos, modificar el formulario, etc. Otro ejemplo:

http://intranet.goldendata.cl/index.php?err=%3Cscript%3Edocument.href=%27http://www.google.cl%27%3C/script%3E

Al ingresar a ese link podemos ver que nos redireccionamos a Google, de esta forma podemos redireccionar al visitante a una pagina maliciosa que contenga troyanos, virus, etc usando la identidad y dominio de la empresa “Goldendata.cl”.

La forma de solucionar esta vulnerabilidad es hacer un parseo a lo que se va a imprimir, por ejemplo: print htmlentities($_GET['err']); De esta forma escapamos los caracteres raros a html (como el espacio, mayor o menor que, parentesis, etc). De todas formas, recomiendo NUNCA pasar valores de variables y luego usarlas tal cual. Recomiendo en el peor de los casos usar switch con un valor y segun ese valor imprimir el error. Ej:

http://intranet.goldendata.cl/index.php?err=user_incorrect

Y que el codigo dijiera algo asi:

witch($_GET['err']){

case ‘user_incorrect’: echo “Usuario incorrecto”; break;

case ‘pass_incorrect’: echo “Pass incorrecta”; break;

}

La segunda y tercera vulnerabilidad mensionada la podemos explotar de esta forma:

Tenemos la URL

http://www.goldendata.cl/aplicacion.php?aplicacion=contactenos.php

Lo que estan haciendo un ustedes es un include sucio y en bruto del contenido de la variable $aplicacion, por lo que si nosotros cambiamos ese valor podemos acceder a cualquier archivo del sistema. Por ejemplo al fichero que contiene la informacion de todos sus clientes:

http://www.goldendata.cl/aplicacion.php?aplicacion=../../../../../etc/passwd

De esta forma podemos acceder a los ficheros de configuración de apache y todo lo que nosotros queramos obtener segun nuestra imaginación. Podemos acceder a los ficheros que estan en los directorios “include” de su sitio, pudiendo de una u otra forma acceder a la información de conexion a la base de datos como host, user y pass, etc. De esta forma podemos navegar “libremente” por su sistema como si tuvieramos acceso a el.

Esta vulnerabilidad se corrige de la misma forma que lo anterior, pasando el argumento por un “switch” o por un IF, pero jamas incluir un fichero directamente como lo estan haciendo ahora.

Compartir/Guardar

Tal como lo explica Ivan en su blog, hay que seguir una serie de pasos para lograr el objetivo. Personalmente creo que sería muy complicado escribir un bot que sea el encargado de obtener la mayor cantidad de información posible, pero no imposible. Con un poco de imaginación y destreza podemos lograrlo.

Luego de intentar comunicarnos con la gente encargada del sitio web de esta empresa mediante los correos electrónicos seleccion@vespucionorte.cl y contacto@vespucionorte.cl y sin tener ningun tipo de respuesta, decidimos hacer publico el documento.

Documento completo: http://blog.cuack.org/2009/bug-en-sitio-de-empresa-avn-cl-avenida-vespucio-norte-tags-autopistas/

Compartir/Guardar

NIC ha puesto a disposición de todos nosotros algunos datos de esas personas, de manera tal que podamos hacer la relación rut-nombre. La forma en que NIC facilita el registro de dominios es que, al escribir el rut del registrante, automáticamente rellena los campos del nombre de la persona, sin verificación ni ningún tipo de validación.

Los pasos a seguir son:

Entramos a http://www.nic.cl y llenamos el formulario “Inscriba su dominio” con un dominio dummy que sepamos que no existe, por ejemplo “iuhxfuzenfier” y presionamos el boton “Ir”.

Inscripción de dominio

Nos enviará a la siguiente pantalla

Si completamos el campo rut con el número (por ejemplo) 6.692.949-3, encontrado en google. Al presionar el botón Siguiente, nos mostrará una pantalla con el nombre de la persona a la cual corresponde ese rut.

Si vemos el código fuente de esa pantalla, podremos ver el html y armar un bot-spider que se dedique a capturar los datos e ir almacenandolos.

Para pasar del paso 1 al 2, no existe ningún tipo de validación de que realmente es un humano quien está detrás de la máquina (captcha), por lo que perfectamente un bot bien programado puede encargarse de obtener toda la información.
En el paso 1, podemos ver abajo del formulario un mensaje que dice:

ADVERTENCIA: Los datos entregados para la inscripción de su dominio son información pública.
NIC Chile almacena esta información en su base de datos la cual no se entrega, vende, cede o transfiere a ninguna persona o institución y a ningún título.

Lo que no nos ayuda en nada al momento de la protección de datos.

Si vamos a la parte técnica, podemos empezar a escribir unos pequeños ejemplos de cómo explotar esta debilidad. Si nos damos cuenta, los datos del rut son pasados mediante POST al destino /cgi-bin/ingresa-solicitud, pasando los parámetros del rut, digito verificador y email mediante rut, dv y emailr respectivamente. Usando curl y ejecutando la siguiente orden en linea de comandos:

curl "http://www.nic.cl/cgi-bin/ingresa-solicitud?dominio=adsasdasdsa&opcode=C&pantalla=2&rut=6692949&dv=3&emailr=lalalala@lalalala.cl"

Veremos que nos escupirá un html con el dato que nos interesa, el nombre. Debemos buscar una (o varias) expresiones regulares que nos permitan obtener solo la información que nos interesa e ir almacenandola.

Con las personas que estuve trabajando la explotación y análisis de esta vulnerabilidad, nos dimos el trabajo de comunicarselo a la gente de NIC obteniendo la siguiente respuesta, por parte de uno de los encargados:

No es efectivo que exista una falla o vulnerabilidad a la que usted hace referencia en su mensaje.

La información que NIC Chile usa en su práctica de registro es
información que está disponible en la base de datos pública del SII

[...]

La situación descrita en su mensaje consiste en un procedimiento
automático que permite cotejar el nombre que el solicitante de un
dominio informa en su solicitud.

El procedimiento anterior, establecido desde 19 de noviembre de 2002, ha
permitido mejorar la calidad de la información asociada a cada registro,
en función de los requerimientos de todos los procesos que NIC Chile
administra.

Atte.,

Luis Arancibia Medina
NIC Chile

Dejando claro que lo que para nosotros es una vulnerabilidad para ellos es una caracteristica. En ningún momento se les dice a NIC que es una falla del sistema o que la aplicación de ellos está mal diseñada, simplemente se les da a conocer como es de fácil capturar la información de los Chilenos (personas y empresas) para tenerlas toda en una base de datos y en un último correo diciendoles que eso simplemente se corrige con un captcha, sin obtener respuesta.

Yendo más allá de si esta información es pública o privada, creo que vale la pena destacar que de todas formas hay que protegerlas.

Para finalizar quiero mostrar el resultado de un script spider que capturó 100 datos automaticamente en menos de 20 segundos:

+———-+————————————-+
| rut      | nombre                              |
+———-+————————————-+
| 17***737 | leon silva annie karina             |
| 1*47*9*7 | escobar umaÑa emanuel               |
| 13*92*0* | soto valenzuela julio               |
| 1*84291* | pozo briones carolina               |
| 10834140 | trucco saez matias                  |
| 1*3**383 | pizarro rojas angela                |
| 10212078 | russi delrio sebastian              |
| 1420813* | veas torres pilar                   |
| 17*020*2 | burgos leiva karla                  |
| 1323428* | blanco casals andres                |
| 1*209*24 | casar leturia maricarmen            |
| 1*032432 | riveros montecino nicolas           |
| 1*280*14 | hermosilla valenzuela alejandro     |
| 177298*2 | jerez pardo juan jerez              |
| 99*399*  | guajardo diaz eduardo               |
| 1**43431 | flores videla claudia               |
| 18743*42 | pilorget santander benedicte        |
| 10391332 | palma jimenez patricio              |
| 17**70*7 | castro chavarriga daniela francisca |
| 1**42213 | cortes bastias jorge                |
| 1*209482 | awad nabzo daniela                  |
| 1201*949 | navarro gutierrez cristobal         |
| 1*3*24*3 | jerez arrue leticia haydee          |
| 1*1*2778 | carreÑo parra gustavo               |
| 1012220* | huerta bau antonia                  |
| 1*0148** | aqueveque muÑoz keila               |
| 1*73830* | ibarra orellana marco               |
| 1*0*7**8 | gajardo alarcon orlando             |
| 1*211092 | quintana pacheco angelo             |
| 17784*14 | neira riveros natalia andrea        |
| 1*014007 | hernandez del valle maria           |
| 142*9273 | fernandez salazar patricio          |
| 13***20* | valdes ruiz juan                    |
| 1770*11* | sotomayor saavedra luis alejandro   |
| 14003**8 | sepulveda lara eva                  |
| 1*322174 | saez  alvaro                        |
| 1*3*8402 | carvajal gonzalez carolina          |
| 1***348* | saavedra rosas rocio                |
| 1*898098 | perez serrano francisca             |
| 1*99*094 | dintrans silva barbara              |
| 1*199*87 | alcalde olave alonso                |
| 1*072810 | vallejos medina juan                |
| 1*318218 | soto muÑoz veronica                 |
| 1*313843 | merino cuevas karen                 |
| 1*31*822 | lagos levancini matias              |
| 1*38*323 | huerta bohus carlos                 |
| 1**411*3 | bonta aguilera pilar                |
| 1*021401 | rojo segovia jonathan               |
| 1*47783* | marquez marquez daniela             |
| 1*143980 | espejo gomez luisa                  |
| 1*899**3 | cancino navarrete carolina          |
| 1*34*127 | castro muÑoz luis                   |
| 1**37740 | eberle polanco ricardo              |
| 1*77*9*1 | castro yevenes miguel               |
| 14*09004 | eisele hernandez rodolfo            |
| 1*780809 | covarrubias aliaga daniela          |
| 1*019080 | valdivieso lolic catalina           |
| 1**40414 | steil vega nicolas                  |
| 1*939124 | peralta abarca falon                |
| 1*93399* | torres navarro felipe               |
| 1*42*1*3 | vargas paredes natalia              |
| 1*84*494 | alegre yanten carolina              |
| 1*1999*1 | gonzalez rojas andres               |
| 1*933099 | arrieta sanhueza enrique            |
| 1*4784*9 | zamudio salazar cesar               |
| 1*78418* | maturana alcaino loretto            |
| 1*782**4 | pinto anwandter loreto              |
| 1**37300 | cruz peigneguy maria                |
| 1*0149*2 | lohaus reyes maria                  |
| 1*3*0349 | winter donoso francisco             |
| 1*34*4** | robles ansaldo mariel               |
| 134920*9 | ramirez quezada enzo                |
| 1*3140*0 | gonzalez carvajal jonathan          |
| 1*213*1* | canto muÑoz ana                     |
| 1*382482 | rojas ugarte daniela                |
| 14131*81 | miranda soto david                  |
| 13*89014 | matus espinoza juan                 |
| 1*77*043 | arriagada torrealba pablo           |
| 147*4*87 | lemon colubriale luciana            |
| 1**41282 | mazu fuenzalida denisse             |
| 13*84823 | roa roables juan                    |
| 1**78*48 | cofre olmos raul                    |
| 1**70400 | vicencio gonzalez jose              |
| 1*338948 | pozo montero pablo                  |
| 1*83811* | muÑoz lizana gisselle               |
| 1**087*8 | araya arriagada samuel              |
| 17707294 | ramirez ramirez danisa              |
| 1*3*8**7 | ramirez navarro angela              |
| 14**7779 | smerkin bustos enrique              |
| 17*80*8* | perez moreno leonardo francisco     |
| 14*4942* | quintana rivera elizabeth           |
| 1*29*79* | vargas gomez july                   |
| 1**3*210 | pizarro  javiera                    |
| 1*381**7 | osben  carolina                     |
| 17429044 | arancibia espinoza felipe jaime     |
| 147*1*30 | rasoarimalala  marcelline           |
| 13904420 | camus landa albert                  |
| 1****937 | garber sepulveda javiera            |
| 1*4090*8 | navarro tapia gabriel               |
| 1*07*7** | navarrete peralta drago             |
+———-+————————————-+

los * son para “proteger” la información.

Compartir/Guardar

Este sistema de inicio de sesion tiene dos vulnerabildiades que pueden ser explotadas muy facilmente, SQL Injection y Authentification bypass. La primera nos permitirá iniciar sesion como cualquier cliente o administrador y la segunda

Ejemplo, com un SQL Injection vamos a iniciar sesion como un usuario al azar:

La tercera vulnerabilidad la podemos encontrar si miramos la url de esta pantalla

Corresponde a una vulnerabilidad de stipo XSS, si cambiamos el contenido de la variable nom por algun codigo malicioso, podremos usar el sitio de caffarena para hacer phishing, robar cookies y otros datos de clientes, etc.

La vulnerabilidad numero cuatro corresponde a una del tipo authentificaction bypass, que nos permitirá ingresar al sistema de administración con tan solo escribir en la barra de direcciones el directorio donde se encuentra este sistema, sin un login ni nada. En este panel de administración podremos encontrar todos los documentos de los clientes y además, una lista de todos los clientes con sus respectivos passwords.

Como quinta y ultima vulnerabilidad, tenemos que al intentar subir algun fichero, el sistema no valida de que tipo es por lo que podemos subir algun script escrito en php con codigo malicioso que nos permita hacer las cosas que queramos realizar operaciones no permitidas en el servidor, ejecutar comandos, navegar por los directorios, etc.

Como conclusion, no me queda nada mas que decir que este sitio web esta tapado en bugs altamente explotables y es una de las paginas con los sistemas de seguridad y administracion mas malo que he visto.

Compartir/Guardar