AutorZerial

Vulnerabilidad permite el robo de información en el sistema del S.I.I

Ya han sido varias las vulnerabilidades que han afectado a este sistema, como pueden ver en Secureless, se han reportado vulnerabilidades correspondientes a redirección de URL abierta, es decir, el usuario podía ser redireccionado a cualquier URL externa sin su autorización y otras del tipo Cross-Site Scripting, que permite al atacante incrustar código html/javascript arbitrariamente y aprovecharse de la confianza que el usuario tiene sobre el sitio para robar información, suplantar su identidad mediante el robo de cookies o bien incrustando un formulario falso para que el usuario entregue sus datos de autentificación (rut, password) al atacante.

Esta es una demostración de que tener un sitio con SSL o HTTPS no significa que sea “seguro”.

DISCLAIMER: Antes que todo, me gustaría aclarar los motivos de hacer pública esta demostración. Hace varios meses intenté reportar la vulnerabilidad de Redirección de URL que afectaba al momento de iniciar sesión pero no obtuve respuesta y luego de haberla hecho publica, apareció solucionada. La última vulnerabilidad XSS que encontré logré reportarla al encargado de seguridad de la institución (gracias a un contacto que no tenía antes), la respuesta que obtuve fue:

Escalé al Area de Mantención , para que mitigue la vulnerabilidad, te enviaré e-mail cuando esté mitigada.

Muchas gracias por la información

1 mes despues de este correo, no he recibido ninguna notificación. Luego de haber dicho lo siguiente, hace 3 dias:

La vulnerabilidad apareció corregida.

Esta vez avisaré a los responsables pero no esperaré a que lo solucionen para hacer público este artículo. Creo que los usuarios del Servicio de Impuestos Internos debe conocer los riesgos de realizar trámites online con una plataforma que no brinda la suficiente seguridad.

Seguir leyendo

Problemas de seguridad en Transvip

Hace un par de días estaba en uno de esos Transfer que te llevan desde el aeropuerto hasta tu casa, de la empresa Transvip. El movil tenia un dispositivo en el lado del chofer con el cual me imagino que lo usan para ver las reservas y rutas a seguir.

Me llamó la atención el dispositivo ya que parecia que tenía un navegador web y no era el típico gps, asi que me acerqué y para ver que era realmente

Me di cuenta que si era un navegador web, conectado a la URL transnet480.transvip.cl. Lo primero que se me vino a la cabeza fue “un sistema interno de reservas, una intranet“. Intenté conectarme desde el telefono y pude ver lo mismo que se veia en esa pantalla del chofer. Me llamó la atención que a ese sistema, donde supuestamente debería poder ingresar sólo personal de la empresa, sea accesible publicamente simplemente con la URL. Sin ningun tipo de filtro ni control de acceso.
Seguí investigando y descubri algunas otras fallas en los servicios de internet de esta empresa, por ejemplo, usan los dns de Centropuerto, ns.centropuerto.cl, los cuales son vulnerables a ataques de transferencia de zonas (AXFR), pudiendo conocer los subdominios del dominio transvip.cl, donde aparecen varios que podrian ser de utilidad como test, convenios o transnet480:

clientes.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
convenios.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
cp.transvip.cl.        38400    IN    CNAME    www.transvip.cl.
exchange.transvip.cl.    38400    IN    CNAME    srv-exchange.transvip.cl.
gestion.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
mail.transvip.cl.    38400    IN    A    200.111.172.44
mailing.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
movil.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
srv-exchange.transvip.cl. 38400    IN    A    200.111.172.44
test.transvip.cl.    38400    IN    CNAME    www.transvip.cl.
transnet480.transvip.cl. 38400    IN    CNAME    www.transvip.cl.
www.transvip.cl.    38400    IN    A    200.111.172.46

Intenté comunicarme con alguien encargado de informática o algo parecido, pero no hubo respuesta por parte de ellos. Además de indicarles estos problemas de seguridad, tambien iba a reportarles algunas vulnerabilidades web encontradas como un Cross-Site Scripting en el sitio transnet480:

ACTUALIZADO (10 de Febrero):

La empresa Transvip tiene un sistema de gestión de liquidaciones alojado en liquidacionestransvip.cl (al parecer no conocen los subdominios), en la cual aparece un login para iniciar sesión

Pero si ingresamos directamente al directorio “/pdfs” podemos ver el listado de todos los archivos PDF correspondientes a liquidaciones, donde podemos acceder a información sensible de la empresa y sus clientes

Gracias a aermann por la colaboración!

Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander

Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas.

Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), que permite asignar pagos automaticos a terceras personas, sin previa confirmación. De esta forma, Juanito Perez, puede asignar el pago automatico de la cuenta de luz, agua, movil u otro a Pedrito, sin su autorización.

Varias personas se contactaron conmigo y me comentaban que habian enviado un reclamo a su ejecutivo de cuentas, para tener una respuesta formal y seria respecto a estas vulnerabilidades reportadas. Una de ella me llamo la atención, corresponde a @Van_ultraviolet, que le respondieron:

  • Es una persona que necesita mucha atención, por eso hace esto.
  • Cualquier persona puede acceder al código fuente.
  • Revisamos las alertas del pseudo-hacker y no son reales.

Pueden ver a respuesta completa aca: https://twitter.theinfo.org/152376559511142400

Considero que esto es impresentable y que la persona que entregó esa respuesta debería pensar seriamente en dejar de ejercer su profesión.

Por otro lado, una de las empresas responsables se contactó conmigo y hemos creado un canal de comunicación para el reporte de vulnerabilidades. Ellos admitieron el fallo del Source Code Disclosure y tambien la vulnerabilidad PAT/PAC, indicando que ya está corregida en su entorno de desarrollo, sólo falta ponerla en producción.

El banco no ha respondido publicamente sobre el asunto, el “canal web” y el llamado “Community Manager” que maneja la cuenta de Twitter (@SantanderChile), tampoco se pronuncia al respecto, apesar de las insistentes quejas y reclamos de sus clientes.

Como conclusión, hay 3 empresas involucradas:

  1. Santander: La entidad afectada, el Banco.
  2. TAISA Chile: Una de las empresas involucrada en el desarrollo del sistema.
  3. NEOSECURE: Segun los comentarios del post anterior y segun la información que me llegaba por correo, twitter, etc, es la empresa que ve la “seguridad” del Banco, es decir, es la “empresa lider en seguridad informatica” que audita periodicamente los sistemas del santander, según ellos; Aviso de seguridad Santander.

De estas tres empresas involucradas, la uinca que se ha hecho responsable y ha dado la cara, es TAISA, quien ha reaccionado bastante bien, agradecida y con ganas de crear un canal de comunicación para este tipo de incidentes. Ademas, han reaccionado bastante rapido despues de que se hizo la publicación.

Ustedes juzguen.

Acceso al codigo fuente del Banco Santander Chile

Ya he publicado algunas vulnerabilidad que afectan a los clientes del Santander, esta vez escribiré sobre una vulnerabilidad que afecta directamente al Banco y que permite al atacante obtener el codigo fuente de la banca. El atacante puede navegar por los directorios en busca de los archivos “asp” y descargar el archivo, teniendo acceso al codigo fuente del sistema.

Se trata de una vulnerabilidad Local File Include + Directory Traversal = Source Code Disclosure, solo debemos modificar el valor de una variable de la URL para obtener el archivo que necesitemos. Se trata de un fallo basico e irresponsable que ningun alto estandar de seguridad permite.

Lo curioso es que segun el aviso de seguridad oficial del banco santander, hay una empresa “lider” en seguridad informática que les hace auditoría periodica:

Cierto, parece un chiste.
Seguir leyendo

Transferencia de Zona en los DNS de Scotiabank

Hace un tiempo escribí sobre las vulnerabilidades AXFR, tambien publiqué un script que nos ayuda a buscar dns que tengan esta configuración.

Los bancos no solo tienen vulnerabilidades web, tambien tienen servicios que se encuentran mal configurados, como es el caso de Scotiabank, que tiene los servicios DNS configurados de forma tal que permiten a cualquier persona poder actuar como servidor secundario y transferir las zonas.
El DNS que tiene los problemas es el secundario, ns2.scotiabank.cl. Si intentamos transferir las zonas desde el secundario, obtenemos los subdominios asociados a scotiabank.cl:

scotiabank.cl.        3600    IN    SOA    fw-ext.scotiabank.cl. webmaster.scotiabank.cl. 2011110401 3600 3600 1857600 8400
scotiabank.cl.        3600    IN    NS    ns2.scotiabank.cl.
scotiabank.cl.        3600    IN    NS    fw-ext.scotiabank.cl.
scotiabank.cl.        3600    IN    A    200.14.209.97
scotiabank.cl.        3600    IN    MX    10 smexstsip11.scotiabank.com.mx.
scotiabank.cl.        3600    IN    MX    10 smexstsip21.scotiabank.com.mx.
scotiabank.cl.        3600    IN    MX    10 smexstsip31.scotiabank.com.mx.
scotiabank.cl.        3600    IN    TXT    “v=spf1 a mx ip4:168.165.13.0/24 include:spf.masterbase.com ~all”
alteon1.scotiabank.cl.    3600    IN    A    200.14.209.101
alteon2.scotiabank.cl.    3600    IN    A    200.55.208.27
corporate.scotiabank.cl. 3600    IN    CNAME    sdol.mastercard.com.
fw-ext.scotiabank.cl.    3600    IN    A    200.14.209.97
gslb.scotiabank.cl.    600    IN    NS    alteon1.scotiabank.cl.
gslb.scotiabank.cl.    600    IN    NS    alteon2.scotiabank.cl.
ns2.scotiabank.cl.    3600    IN    A    200.55.208.26
smexstsip11.scotiabank.cl. 600    IN    A    168.165.13.70
smexstsip21.scotiabank.cl. 600    IN    A    168.165.13.73
smexstsip31.scotiabank.cl. 600    IN    A    168.165.13.76
www.scotiabank.cl.    600    IN    CNAME    www.gslb.scotiabank.cl.
scotiabank.cl.        3600    IN    SOA    fw-ext.scotiabank.cl. webmaster.scotiabank.cl. 2011110401 3600 3600 1857600 8400
;; Query time: 44 msec

Y todos los dominios que esten usando a ns2.scotiabank.cl como dns, tambien seran vulnerables a este tipo de ataque, por ejemplo, el Banco del Desarrollo:

bdd.cl.            3600    IN    SOA    fw-ext.scotiabank.cl. webmaster.scotiabank.cl. 2011110401 3600 3600 1857600 8400
bdd.cl.            3600    IN    NS    ns2.scotiabank.cl.
bdd.cl.            3600    IN    NS    fw-ext.scotiabank.cl.
bdd.cl.            3600    IN    A    200.14.209.97
bdd.cl.            3600    IN    MX    10 smexstsip11.scotiabank.com.mx.
bdd.cl.            3600    IN    MX    10 smexstsip21.scotiabank.com.mx.
bdd.cl.            3600    IN    MX    10 smexstsip31.scotiabank.com.mx.
bdd.cl.            3600    IN    TXT    “v=spf1 ip4:168.165.13.0/24 ~all”
alteon1.bdd.cl.        3600    IN    A    200.14.209.101
alteon2.bdd.cl.        3600    IN    A    200.55.208.27
fw-ext.bdd.cl.        3600    IN    A    200.14.209.97
gslb.bdd.cl.        600    IN    NS    alteon1.bdd.cl.
gslb.bdd.cl.        600    IN    NS    alteon2.bdd.cl.
ns2.bdd.cl.        3600    IN    A    200.55.208.26
smexstsip11.bdd.cl.    600    IN    A    168.165.13.70
smexstsip21.bdd.cl.    600    IN    A    168.165.13.73
smexstsip31.bdd.cl.    600    IN    A    168.165.13.76
www.bdd.cl.        300    IN    CNAME    www.gslb.bdd.cl.
bdd.cl.            3600    IN    SOA    fw-ext.scotiabank.cl. webmaster.scotiabank.cl. 2011110401 3600 3600 1857600 8400
;; Query time: 37 msec

Como es de costumbre, los bancos no tienen procedimientos ni forma para contactar a los responsables.

Fallos de seguridad en Huntcha.com

Huntcha.com es un sistema hecho para “encontrar a tu amor secreto”, ingresas tus datos, registras a tu amor secreto y si tu amor secreto te agrega a ti, entonces el sistema detecta esa coincidencia y te da la alerta. Por lo tanto, ingresando a la cuanta de algun usuario es posible saber quienes son “los amores secretos” de esa persona. Si esta persona está emparejada y está casado, se podría armar un lio mas o menos.

Según los Términos y Condiciones, respecto a la privacidad y protección de datos, podemos leer:

Política de Privacidad

En virtud de la Ley N°19.628 sobre Protección de la Vida Privada, la empresa respeta el deber de proteger los datos de carácter privado y personales de los usuarios, no dando acceso a ellos al público a menos que el propio usuario los de a conocer, por medio de la página web bajo su consentimiento, no pudiendo hacer responsable a la empresa por la información que el mismo entregue. La empresa se compromete a cuidar la seguridad de los datos personales tomando todas las medidas necesarias para esto, a fin de evitar la pérdida, mal uso o cualquier apropiación indebida de estos mismos.

Lo que más me llama la atención es que segun ellos, son 100% privados y seguros:

Dicen tener más de 20 mil usuarios, por lo que asegurar que los datos de esos 20 mil están 100% seguros y privados, es un poco irresponsable. Todos sabemos que la seguridad y la privacidad al 100% no existe.

He encontrado algunas vulnerabilidades en este sistema que puede permitir a un atacante obtener información de los usuarios que se encuentran autentificados. Explotando estas vulnerabilidades el atacante podría perfectamente suplantar la identidad de la persona o de su amor platónico.

Las vulnerabilidades son Cross-Site Request Forgery (CSRF) y Cross-Site Scripting (XSS), combinandolas se puede explotar una funcionalidad que tiene el portal para enviar correos a “tus amigos” para invitarlos al portal, pudiendo modificar el mensaje y el destinatario. Además, no es necesario estar autentificado para poder explotar este fallo.

Seguir leyendo