Grave vulnerabilidad del tipo Cross-Site Scripting en sitio web de RedBanc

La semana pasada he descubierto una vulnerabilidad Cross-Site Scripting (XSS) en el sitio web de RedBanc.

Redbanc S.A.. es una empresa que presta servicios de interconexión bancaria, es decir permite a los clientes de todos los bancos asociados realizar distintas operaciones, depósitos, transferencias, giros, etc. a través de una red cajeros automáticos, que son computadores interconectados, permitiéndole al cliente realizar una serie de operaciones que antiguamente se debían realizar en una caja normal y con la restricción del horario.

Está de más decir que con esta vulnerabilidad encontrada es posible realizar phishing, robos de identidad (robos de cookies mediante xss) y muchas otras cosas más relacionadas con estáfas usando la confianza el sitio RedBanc.cl.

La vulnerabilidad se encuentra en la no-validación de los parametros de entrada en la URL https://www.redbanc.cl/portal_redbanc/browse?pagina=portal_redbanc/inicio.htm. Si modificamos la variable “pagina” y preparamos un javascript especialmente para el robo de cookies o bien algun sitio web externo que nos permita hacer phishing, basta con que coloquemos el código necesario y se lo asignemos a la variable.

Explicación

Cuando se cambia el valor de la variable pagina el sistema reportará que la página no existe. El mensaje de error tomará el valor que ingresamos en la variable y lo mostrará de la siguiente forma:
– En el caso de https://www.redbanc.cl/portal_redbanc/browse?pagina=veamos/si/existe/la/pagina.htm podemos ver el mensaje de error

Pagina no existe
Pagina veamos/si/existe/la/pagina.htm no disponible

Si nos damos cuenta, lo que dice justo debajo de “Pagina no existe” es justo lo que pusimos como valor de la variable pagina por lo que asumimos que cualqiuer cosa que pongamos en su lugar será mostrado y por ende si inyectamos un código html éste será mostrado e interpretado por nuestro navegador.

PoC

Inyectando un código javascript:
https://www.redbanc.cl/portal_redbanc/browse?pagina=<script>alert('XSS')</script>

Inyectando un iframe con destino a otro sitio, el cual podría contener un sitio web maligno:
https://www.redbanc.cl/portal_redbanc/browse?pagina=<iframe src=https://sitio.web</iframe></iframe>


(más información sobre este último punto en: Haciendo phishing explotando una vulnerabilidad XSS)

He intentado contactarme con los encargados del desarrollo del sitio pero no he obtenido respuesta. El formulario de contacto del mismo sitio web no funciona y he estado enviando correos a info@redbanc.cl (correo que aparece en el sitio web) y ni si quiera me han respondido que leyeron el correo.

Los riesgos

Los chilenos bien saben lo que es RedBanc y deberían imaginar los peligros que puede significar un fallo de este tipo en el sitio web oficial.
Explotando esta vulnerabilidad es posible robar la identidad de personas y obtener información privadas tales como nombres, rut, telefonos, números de cuenta bancaria y claves de acceso. Tratandose de un sitio web que tiene directa relacion con los bancos y tarjetas de débito es posible tambien obtener los dígitos del PIN PASS, usando un poco de ingenieria social y engañando a los usuarios con falsos e identicos sitios y formularios.

Aclaración

La vulnerabilidad fue avisada el Jueves de la semana pasada por primera vez, luego intente contactarme con ellos el día Lunes y tambien el Martes y, siendo Jueves, aún no he obtenido ninguna respuesta, ni si quiera acusando que el correo que les envié fue recibido.

ACTUALIZACIóN – 5/Mar/2010 12:30
Luego de numerosos correos enviados a la gente de redbanc reportando el error y sin obtener ninguna respuesta, decidí publicar este artículo y parece que ha dado resultado, porque la gente de Redbanc ya ha solucionado el problema, obviamente sin agradecer y sin emitir ningun tipo de comentario al respecto, simpemente solucionaron el problema como si nada ha pasado.
Buscando en Google me he dado cuenta que este sitio ha tenido esta misma vulnerabilidad en distintos scripts y y redbanc nunca dijo nada.

11 comentarios

  1. Hace más de 2 años que tienen esa vulnerabilidad…
    Es increíble que empresas de apoyo al giro bancario sigan con este tipo de problemas.

    BTW, no creo que este tipo de vulnerabilidad sea para colocarlos en los Full Disclosure de las seclist….

  2. esperemos que todo este ok por ahi! fuerzachile

  3. Buena Zerial, tambien mando las fuerzas para el pueblo chileno. Y conrespecto al Banco no se puede entender como una empresa, que maneja mucho dinero y donde siempre son el punto de ataque no se tome la molestia de solucionar un XSS, se merece que le hagan algo asi se joden :@

    Saludos

  4. @c0r3: Yo y mi familia y en general mis conocidos estan bien. Aca en santiago no fue tan terrible, por suerte.

    @MagnoBalt: Y como dice @Andres, al parecer se trata de una vuln. de hace mas de 2 años.

  5. Como no comentabas nada en el blog, pues nada me alegro que todo esté bien..
    al final supe de ti por los mensajes del twitter.

    Un cordial saludo un compatriota Chileno que te sigue desde el otro lado del charco!.

  6. Bro, excelente ! muchos saludos
    volvimos a las canchas 😛

  7. Buenísimo que estés OK, Zerial!

    Puedo compartir algo al respecto?

    En http://mail.defensa.cl:82/ dicen
    USTED ESTÁ ACCESANDO AL CORREO ELECTRÓNICO PÚBLICO, DEL ESTADO MAYOR DE LA DEFENSA NACIONAL POR EL CUAL SÓLO SE AUTORIZA TRÁFICO DE INFORMACIÓN CLASIFICADA “ORDINARIA” QUE PUEDE SER PÚBLICA.

    LA INFORMACIÓN QUE CIRCULA POR ESTE CORREO SERÁ SOMETIDA A LA REVISIÓN DE SU CONTENIDO, EN FORMA ALEATORIA, PARA CONTROLAR QUE NO SE INCURRA EN FALTAS A LA SEGURIDAD O SE MAL UTILICE UN BIEN FISCAL, PARA ENVIÓ DE INFORMACIÓN REÑIDAS CON LA MORAL Y LAS BUENAS COSTUMBRES, Y EN GENERAL, CUALQUIER TIPO DE CONTENIDO QUE AFECTEN EL PRESTIGIO DE ESTA ALTA REPARTICIÓN MINISTERIAL.

    LA SEGURIDAD ES TAREA DE TODOS

    …… y fijate esto:
    http://mail.defensa.cl:82/cgi-bin/neomail.pl?sessionid=%22%3E%3Ciframe%20src=%22http://google.com%22%3e

    Cosas que pasan, la seguridad en las aplicaciones web deja muuuuucho que desear (inclusive en sites que por definición deberían ser seguros!!!!).

  8. Zerial

    marzo 3, 2010 a las 11:09 pm

    Hola @Javier!

    Fijate que la URL vulnerable corresponde a “neomail”. Neomail es una webmail gratuito, libre y de codigo abierto. Lo mas seguro es que ese bug ya este corregido, pero al parecer la versoin de ese webmail es antiguo. Fijate en esta url: http://www.securityfocus.com/bid/17728 Corresponde a una vulnerabilidad reportada y parcheada el año 2006.

    Gracias por el aporte!

    saludos

  9. Así es, de hecho hace unos años usé neomail… no estaba tan mal (al menos estéticamente hablando :).
    Sin embargo, si bien el XSS es como vos bien aclarás en una aplicación “tercera”, lo que me llamó la atención es que en un lugar que debería primar la seguridad se esté usando un webmail taaaan viejo. Clásica rutina de seguridad: mantener el software actualizado!

    Ya que estoy por aquí:
    Hace unos días estaba mirando imágenes en http://winds.jpl.nasa.gov/imagesAnim/quikscat.cfm cuando encontré este XSS:

    http://winds.jpl.nasa.gov/imagesAnim/images.cfm?pageName=ImagesAnim&subPageName=QuikSCAT&Image=QS_S1B28865%22%3E%3Cscript%3Ealert%28/XSS/%29%3C/script%3E

    Luego de googlear un ratito descubrí que se reportaron un montón de XSS dentro de páginas de la NASA, también en sites del Pentágono, etc. No es increible que este tipo de sites presenten vulnerabilidades taaaan obscenas? Por qué no validan (mejor?) la entrada?

    saludos nuevamente,
    javi (gracias por compartir tan buen blog, zerial!)

  10. Zerial

    marzo 4, 2010 a las 11:24 am

    @Javier: Creo que este tipo de vulnerabilidad es de las mas comunes y tiene varias formas de ser explotada. Esta falla no afecta directamente al sitio, puesto que no se puede modificar informacion del sitio y cosas por el estilo. Los afectados son los usuarios y muchas veces usuarios que ni si quiera tienen relacion con el sistema.

  11. Muchas veces confundimos los focus de seguridad, creo que en empresas de este tipo privadas como publicas es imperdonables tener fallas de seguridad, pero debemos considerar que en una empresa como transbank o la misma nasa, deberian tener los servidores web y de correos totalmente aislados a es mas… recuerdo alguna vez haber entrado a la web de transbank por una falla de actualizacion de IIS, sin nada de experiencia y de pura casualidad me veia entre el index y el contacto 😀 hahahaha la verdad que no vi nada mas que fuera de utilidad mas que un servidor windows corriendo apache….

    En todo caso por muy whitehat que se trate de ser es nada el agradecimiento de los administradores…

    Saludos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.