Vulnerabilidades CRíTICAS en sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – Argentina)

Hace un par de semanas descubrí varias vulnerabilidades críticas en el sitio web del ministerio de ciencia y tecnología de Argentina, me comuniqué con gente de .ar para que intentara comunicarse con gente encargada para solucionar los problemas pero no obtuvo respuesta, por lo que decido hacerlas públicas.

mincyt-ar

Las vulnerabilidades encontradas corresponden a las del tipo Local File Include (LFI), Remote File Include (RFI) y Remote Code Execution (RCE)

El script vulnerable es el index.php, el que soporte como parametro mediante la variable “contenido”, un fichero local o remoto.
Como primera prueba, intentaremos embedir google dentro del sitio, pasando como parametro la direccion de google:

mincyt-1

Entonces es hora de incluir nuestra shell remota y ejecutar algunos comandos, para saber que control tenemos sobre el servidor:

$ whoami; pwd; id;
apache
/webhosting/mincyt/html
uid=48(apache) gid=48(apache) groups=48(apache)

Listado de directorios de la raíz:
mincyt-2

Listado de directorio actual:
mincyt-3-1

(click para imágen completa)

Este tipo de sitios se puede utilizar como proxy, es decir, navegar “anonimamente” usando la dirección IP del ministerio de tecnología de argentina, por ejemplo, ingresamos a un sitio que nos muestra información sobre nuestra IP, desde el servidor de mincyt:
mincyt-4
Como podemos ver, la direccion de origen es goku.mincyt.gob.ar, que mejor, estamos navegando desde el ministerio de ciencia y tecnologia de argentina y ademas desde Goku!
son-goku

Actualización (12/Ago/2009 – 21:33hrs): Debido a un artículo publicado en segu-info, me entro que ArCert (coordinación de emergencias en redes teleinformáticas) se hará cargo del asunto, intentando comunicarse a la brevedad con los responsables para solucionar el problema.

Actualización (13/Ago/2009 – 11:27hrs): Corrigieron el problema de Remote File Include y Remote Code Execution, la vulnerabilidad LFI aún persiste.

Actualización (13/Ago/2009 – 21:30hrs): Como pueden ver en los comentarios, la gente de ArCert se puso en contacto con Mincyt para solucionar el problema y al parecer ya lo han solucionado. Estas personas nunca se contactaron conmigo, sino que dejaron un comentario en el blog de segu-info.

11 comentarios

  1. Oh viejo, esto no puede ser posible. buena publicación Cerealbar 🙂

  2. Realmente muy feo, es una pena que los organismos gubernamentales no implementen un mínimo de seguridad, éste error es de los más feos… en fin, que va ser >=(

  3. Por suerte ahora parece que lo solucionaron.
    Tendrían allow_url_fopen en On (default) en php.ini?

  4. ja !!! y si esa gente que no sabe nada del tema esta entan en esos cargos a donde iremos a parar …..

  5. Tengo una duda respecto a navegar “anonimamente” utilizando la web vulnerable…, La navegación anónima deja logs en el server?

  6. Zerial

    agosto 12, 2009 a las 3:53 pm

    @Fido_Dido: Si, deja logs en el server de mincyt, como una peticion GET en los logs de accesos de apache. Recomiendo usar anonymouse para conectarse a mincyt y luego saltar a otra web.

    saludos

  7. Hola Zerial,

    Luego de la publicación en Segu-Info, ArCERT se puso en contacto con nosotros para informarnos qué había sucedido.

    Se puede leer la respuesta en: http://blog.segu-info.com.ar/2009/08/vulnerabilidades-criticas-en-el-sitio.html

    Al parecer han decidido no ponerse en contacto contigo.

    Cristian

  8. Zerial

    agosto 13, 2009 a las 10:24 pm

    Cristian: Gracias por la información. Concuerdo contigo, al parecer no se han querido poner en contacto conmigo, en fin,

    saludos

  9. Che, pero vos intentaste comunicarte con la gente del MinCyT antes de publicar este informe, no? Digo, porque si no hiciste eso… no veo por que a la gente del MinCyT le hubiera interesado contactarse con vos y si dejar un simple comentario en el sitio de seguinfo.
    saludos.

  10. Zerial

    agosto 17, 2009 a las 1:09 am

    @Buanzo: Si, si lees el post que escribi dejo bien en claro que antes de poublicarlo, lo que hice fue reportarlo e intentar ponerme en contacto con la gente de MinCyT. Lo hice a traves de un amigo argentino y lo que ellos respondieron fue (luego de 1 o 2 dias que publique el articulo): “Mincyt es un sitio publico por lo que lo de listar directorios y archivos no tienen ningun problema”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.