Página 2 de 51

ekoparty security conference 2016

Los días 26, 27 y 28 de Octubre se realizará en Buenos Aires la versión número 12 de la Ekoparty.

Seguir leyendo

Conferencia de Seguridad Informática en Magallanes

Los días 3 y 4 de Noviembre se realizará una conferencia de seguridad informática en la ptagonía. Este evento busca dar a conocer y discutir temas relevantes de la seguridad informática en todos sus ámbitos, públicos y privados, se conocerán riesgos y vulnerabilidades , se fomentaran medidas de protección y todo esto orientado, a todo tipo de público.

Seguir leyendo

ISACA CYBERSECURITY DAY CHILE 2016

El día 7 de septiembre, desde las 8:30AM en la sede de la Universidad Mayor ubicada en la calle Manuel Montt, Providencia, se realizará el primer evento ISACA CYBERSECURITY DAY CHILE 2016.

Seguir leyendo

Nueva Forma de Marcar: Análisis a la aplicación publicada por el gobierno

mobapp_android

En Chile se está cambiando la forma de marcar a los celulares y para esto, la Subsecretaría de Telecomunicaciones tuvo la iniciativa de lanzar una aplicación para los dispositivos móviles que facilitara la actualización de la agenda.  Esta aplicación fue encargada a la empresa de desarrollo Cursor S.A.

Los primeros comentarios de quienes empezaron a instalar la aplicación, hacian referencia a la cantidad de permisos que requería para ser instalada y utilizada.

permisos_app

Entonces nos preguntamos: Una aplicación tan simple como actualizar tus contactos para que requiere tantos privilegios? Rapidamente uno podría pensar lo siguiente…

  • Identity: ???
  • Contacts: Ok, obviamente necesita acceder a mis contactos para poder modificarlos.
  • Location: ???
  • Photos/Media/Files: La aplicación tiene la opción de respaldar los contactos. Me imagino que este privilegio es requerido por esa funcionalidad.
  • Wi-Fi connection information: Para enviar los contactos respaldados ???

Entonces empezaron las sospechas …

Seguir leyendo

Atacando sistemas legacy: FONASA y SAG

gobcl-data-leak

Los sistemas legado o legacy siempre son un dolor de cabeza, más aún cuando se trata de seguridad. Por lo general, este tipo de sistemas fueron desarrollados hace más de 5 años y no Sitienen ningún tipo de soporte. El problema es que los siguen utilizando, incluso para el manejo de información sensible y confidencial. Cuando estos sistemas estan publicados en internet, sin ningun tipo de protección ni filtro, el riesgo de sufrir un ataque es aún mayor.
Utilizando simplemente los motores de búsqueda, en chile se pueden enumerar cientos de sistemas legacy a nivel de gobierno, incluso algunos que ya han sido intervenidos y los encargados no se han dado cuenta. Una mala práctica muy común es restaurar los sistemas y bases de datos una vez que fueron intervenidos y “hackeados“, pero no se realiza ningún tipo de análisis de intrusión para determinar el impacto del ataque; simplemente los restauran. ¿Cual es el problema? Que los restauran con los mismos bugs incluso con el mismo backdoor que se utilizo para el ataque.

Seguir leyendo

Persistent Cross-Site Scripting (XSS) en Advanced Custom Fields de WordPress

acf_wp

Advanced Custom Fields es un plugin para WordPress para manejar campos personalizados. De acuerdo a la información entregada por WordPress, se encuentra instalado y activo en más de 1 millón de sitios, su última actualización fue el 17 de Septiembre de 2015 y se encuentra en la versión 4.4.3, por lo tanto se trata de un plugin activo y utilizado.

Durante una revisión de código me di cuenta que no realiza validaciones a los parametros de entrada que recibe mediante POST/GET, por lo tanto busqué justo una línea donde obtenga datos mediante algun formulario e intenté explotarla. El resultado fue un Cross-Site Scripting Persistente.
Para poder explotar esta vulnerabilidad es necesario que tengamos acceso al wordpress con privilegios limitados y podremos elevar privilegios atacando una sesión de administrador.

Seguir leyendo