Acepta es una entidad certificadora que otorga certificados de confianza y servicio de custodia electrónica de documentos, hace un tiempo se publicó que era posible acceder a documentos electronicos almacenados en “Custodium” (un producto o empresa de Acepta), dejando abierto al publico los datos de clientes de Entel con detalles de facturación, dirección personal, nombre, etc. Tambien se publicaron algunos Cross Site Scripting que afectaban al sitio. Ambas vulnerabilidades fueron corregidas.

Hace un par de dias, estuve investigando un poco mas y analizando el proceso de obtención de certificado digital.
Luego de buscar el certificado llegamos a una pantalla donde aparece los datos de la persona dueña del certificado y un boton “descargar”. Al momento de presionar el boton descargar el sistema envia mediante
POST el certificado cifrado en base64 y el nombre del archivo en plano. Ambos datos facilmente manipulables.

Un atacante podria cifrar en base64 un archivo EXE, zip u otro y enviarselo al usuario para infectarlo.

Esto se suma a que el servidor o el sistema no distingue peticiones POST y GET, pudiendo enlazar todo mediante una URL.

Para esta prueba de concepto, tome como prueba un archivo llamado “test.txt” con el texto “texto de prueba” y lo comprimí en un ZIP llamado “test.zip”, al cifrarlo en base64 me quedó asi:

UEsDBAoAAAAAAIKF5ECpSlLREgAAABIAAAAIABwAdGVzdC50eHRVVAkAAxOr9E8Vq/RPdXgLAAEE
6AMAAARkAAAAYXJjaGl2byBkZSBwcnVlYmEKUEsBAh4DCgAAAAAAgoXkQKlKUtESAAAAEgAAAAgA
GAAAAAAAAQAAAKSBAAAAAHRlc3QudHh0VVQFAAMTq/RPdXgLAAEE6AMAAARkAAAAUEsFBgAAAAAB
AAEATgAAAFQAAAAAAAo=

Si lo insertamos en la URL, modificando el valor de la variable “filename=test.zip”,

https://ca.acepta.com/cgi-bin/descargar_certificado?filename=test.zip&cert=UEsDBAoAAAAAAIKF5ECpSlLREgAAABIAAAAIABwAdGVzdC50eHRVVAkAAxOr9E8Vq/RPdXgLAAEE6AMAAARkAAAAYXJjaGl2byBkZSBwcnVlYmEKUEsBAh4DCgAAAAAAgoXkQKlKUt
ESAAAAEgAAAAgAGAAAAAAAAQAAAKSBAAAAAHRlc3QudHh0VVQFAAMTq/RPdXgLAAEE6AMAA
ARkAAAAUEsFBgAAAAABAAEATgAAAFQAAAAAAA==

Este link hará que el usuario descargue el archivo “zip”.

Este tipo de links puede ser utilizado para propagar malware, para
realizar phishing o incluso para propagar certificados falsos, aprovechandose de la confianza que tiene un usuario sobre el sitio y dominio de “Acepta.com”.

Este fallo fue notificado a la empresa correspondiente y solucionado en menos de 2 horas. La solución consiste en agregegar una variable “check” con un hash, que al momento de hacer la petición, valida internamente que el certificado enviado por base64 via GET/POST, coincida internamente con el hash.