NIC Chile lanzó una nueva versión de su sitio web. Entre las mejoras está la opción de crearse una cuenta y administrar desde esa cuenta los dominios que se van registrando.
Luego de un simple y rapido analisis, pude detectar que el sitio web no cumple con los estandares minimos de seguridad, permitiendo a usuarios modificar información de terceros.
DineroMail es una plataforma de pagos, con presencia en Argentina, Brasil, Chile, Colombia y México, que te permite cobrar y recibir pagos online.
Como es comun con este tipo de medios de pago, las empresas o tiendas comerciales implementan el típico “botón de pago” mediante el cual realizan el pago. El proceso de pago se realiza mediante el subdominio checkout.dineromail.com, al cual se le entregan distintos parametros mediante GET y POST con la información de la transacción.
Este corresponde al segundo documento relacionado al concurso de investigación en seguridad informática, el documento fue escrito por @D4NB4R y analiza sitios web que corresponden al ejército de chile y de colombia.
El documento comienza con un tipo de crítica a los eventos de tecnología que existen hoy en día
Esta es la investigación de casi 1 año con esfuerzos y mucha lectura, esta era la conferencia
planeada para mostrar en el Campus Party pero desafortunadamente no soy de la White hat
farandulera que van a exponer sus camisetas estampadas, sus portátiles o sus libros para quitarle el
dinerito a los niños que los alaban, así que será para una próxima oportunidad, pasado esto creo que
es hora de publicar el paper, de antemano pido excusas,primero por si encuentran errores de
ortografía o redundancia en párrafos espero entiendan que está escrito tal cual pensaba. También a
las personas que se sientan atacadas o vulneradas tanto de manera verbal como de manera
tecnológica soy consciente que el texto es un poco fuerte y que puede herir susceptibilidades, solo
busco mostrar una realidad y evitar un posible ataque de estos a gran escala.
Los objetivos seleccionados por D4NB4R son
El análisis lo hace sabiendo que no se trata de un pentest o ataque a una panadería o a un sitio de algun cantante, se trata del ejército.
Ya han sido varias las vulnerabilidades que han afectado a este sistema, como pueden ver en Secureless, se han reportado vulnerabilidades correspondientes a redirección de URL abierta, es decir, el usuario podía ser redireccionado a cualquier URL externa sin su autorización y otras del tipo Cross-Site Scripting, que permite al atacante incrustar código html/javascript arbitrariamente y aprovecharse de la confianza que el usuario tiene sobre el sitio para robar información, suplantar su identidad mediante el robo de cookies o bien incrustando un formulario falso para que el usuario entregue sus datos de autentificación (rut, password) al atacante.
Esta es una demostración de que tener un sitio con SSL o HTTPS no significa que sea “seguro”.
DISCLAIMER: Antes que todo, me gustaría aclarar los motivos de hacer pública esta demostración. Hace varios meses intenté reportar la vulnerabilidad de Redirección de URL que afectaba al momento de iniciar sesión pero no obtuve respuesta y luego de haberla hecho publica, apareció solucionada. La última vulnerabilidad XSS que encontré logré reportarla al encargado de seguridad de la institución (gracias a un contacto que no tenía antes), la respuesta que obtuve fue:
Escalé al Area de Mantención , para que mitigue la vulnerabilidad, te enviaré e-mail cuando esté mitigada.
Muchas gracias por la información
1 mes despues de este correo, no he recibido ninguna notificación. Luego de haber dicho lo siguiente, hace 3 dias:
La vulnerabilidad apareció corregida.
Esta vez avisaré a los responsables pero no esperaré a que lo solucionen para hacer público este artículo. Creo que los usuarios del Servicio de Impuestos Internos debe conocer los riesgos de realizar trámites online con una plataforma que no brinda la suficiente seguridad.
Hace un par de días estaba en uno de esos Transfer que te llevan desde el aeropuerto hasta tu casa, de la empresa Transvip. El movil tenia un dispositivo en el lado del chofer con el cual me imagino que lo usan para ver las reservas y rutas a seguir.
Me llamó la atención el dispositivo ya que parecia que tenía un navegador web y no era el típico gps, asi que me acerqué y para ver que era realmente
Me di cuenta que si era un navegador web, conectado a la URL transnet480.transvip.cl. Lo primero que se me vino a la cabeza fue “un sistema interno de reservas, una intranet“. Intenté conectarme desde el telefono y pude ver lo mismo que se veia en esa pantalla del chofer. Me llamó la atención que a ese sistema, donde supuestamente debería poder ingresar sólo personal de la empresa, sea accesible publicamente simplemente con la URL. Sin ningun tipo de filtro ni control de acceso.
Seguí investigando y descubri algunas otras fallas en los servicios de internet de esta empresa, por ejemplo, usan los dns de Centropuerto, ns.centropuerto.cl, los cuales son vulnerables a ataques de transferencia de zonas (AXFR), pudiendo conocer los subdominios del dominio transvip.cl, donde aparecen varios que podrian ser de utilidad como test, convenios o transnet480:
clientes.transvip.cl. 38400 IN CNAME www.transvip.cl.
convenios.transvip.cl. 38400 IN CNAME www.transvip.cl.
cp.transvip.cl. 38400 IN CNAME www.transvip.cl.
exchange.transvip.cl. 38400 IN CNAME srv-exchange.transvip.cl.
gestion.transvip.cl. 38400 IN CNAME www.transvip.cl.
mail.transvip.cl. 38400 IN A 200.111.172.44
mailing.transvip.cl. 38400 IN CNAME www.transvip.cl.
movil.transvip.cl. 38400 IN CNAME www.transvip.cl.
srv-exchange.transvip.cl. 38400 IN A 200.111.172.44
test.transvip.cl. 38400 IN CNAME www.transvip.cl.
transnet480.transvip.cl. 38400 IN CNAME www.transvip.cl.
www.transvip.cl. 38400 IN A 200.111.172.46
Intenté comunicarme con alguien encargado de informática o algo parecido, pero no hubo respuesta por parte de ellos. Además de indicarles estos problemas de seguridad, tambien iba a reportarles algunas vulnerabilidades web encontradas como un Cross-Site Scripting en el sitio transnet480:
ACTUALIZADO (10 de Febrero):
La empresa Transvip tiene un sistema de gestión de liquidaciones alojado en liquidacionestransvip.cl (al parecer no conocen los subdominios), en la cual aparece un login para iniciar sesión
Pero si ingresamos directamente al directorio “/pdfs” podemos ver el listado de todos los archivos PDF correspondientes a liquidaciones, donde podemos acceder a información sensible de la empresa y sus clientes
Gracias a aermann por la colaboración!
Ya he publicado algunas vulnerabilidad que afectan a los clientes del Santander, esta vez escribiré sobre una vulnerabilidad que afecta directamente al Banco y que permite al atacante obtener el codigo fuente de la banca. El atacante puede navegar por los directorios en busca de los archivos “asp” y descargar el archivo, teniendo acceso al codigo fuente del sistema.
Se trata de una vulnerabilidad Local File Include + Directory Traversal = Source Code Disclosure, solo debemos modificar el valor de una variable de la URL para obtener el archivo que necesitemos. Se trata de un fallo basico e irresponsable que ningun alto estandar de seguridad permite.
Lo curioso es que segun el aviso de seguridad oficial del banco santander, hay una empresa “lider” en seguridad informática que les hace auditoría periodica:
Cierto, parece un chiste.
Seguir leyendo
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes