home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / set / set-1199.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  7.4 KB  |  214 lines
  1.  
  2.  
  3. SET <set-fw@bigfoot.com>    
  4. Noviembre 1999        http://www.imedia.es/set/web/set-1199.txt
  5.  
  6.  
  7. ---[ CONTENIDOS ]--- 
  8.  
  9. - 01 -     Introduccion
  10. - 02 -     Problemas encontrados
  11. - 03 -     P&R
  12. - 04 -     Conclusiones
  13.  
  14.  
  15.  
  16.  
  17. - 01 ----------------------   Introduccion   ------------------------
  18.  
  19. Varios miembros de SET han descubierto fallos cruciales en la seguridad de
  20. ciudad.com.ar, al parecer debidos a la incorrecta configuracion del programa
  21. EdgeMail utilizado para ofrecer servicios de correo en web.
  22. Ciudad.com.ar es un portal argentino que ofrece cuentas de correo en web,
  23. chat y mensajeria instantanea tipo ICQ, mas de 150.000 cuentas pueden haber
  24. sido comprometidas.
  25.  
  26.  
  27.  
  28.  
  29. - 02 ----------------------   Problemas encontrados   ---------------
  30.  
  31. Tras averiguar que ordenador era responsable de ofrecer el servicio y
  32. almacenar los datos nos dimos cuenta de que cualquiera podia:
  33.  
  34. #1   Leer cualquier mensaje
  35. #2   Secuestrar cuentas
  36. #3   Acceder al fichero de claves
  37. #4   Obtener la configuracion de cuentas POP
  38. #5   Determinar los usuarios activos
  39.  
  40.  
  41.  
  42. [#1]  Leer cualquier mensaje
  43.  
  44. Yendo a una direccion URL es posible leer cualquier mensaje guardado en el 
  45. servidor sin necesidad de ningun tipo de autenticacion, un ejemplo:
  46.  
  47.  
  48.   http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/
  49.  
  50. Mostrara un listado de directorios con entradas para los caracteres [0-9,a-z],
  51. los mensajes de cada usuario se guardan en el directorio correspondiente a la
  52. primera letra de su nombre de usuario. Imagina que quisieramos ver el correo
  53. de "nadie", iriamos a:
  54.  
  55.   http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/n/
  56.  
  57. Leeremos el listado hasta encontrar entradas como:
  58.  
  59.  ./n/nadie.InBox  4k
  60.  ./n/nadie.Sent   3k
  61.  
  62. Haciendo click en el enlace nos aparecera el habitual fichero de texto con
  63. formato Unix que contiene todos los mensajes de esa carpeta.
  64.  
  65.  
  66. [#2]  Secuestrar cuentas
  67.  
  68. Mientras que el primer problema 'solo' permite al atacante leer el correo,
  69. encontramos que es posible "arrebatar" a su propietario cualquier cuenta,
  70. crear una nueva cuenta en ciudad.com.ar es un proceso de tres pasos, el 
  71. primero comprueba el nombre de usuario deseado y devuelve un error si ya
  72. existe, el fallo se encuentra en que el script Perl que efectua la creacion
  73. de la cuenta NO CHEQUEA que esta exista, recuerda que esto se comprobaba
  74. en el paso 1, asi que si vamos a una URL como:
  75.  
  76.   http://vulnerablesiteen.ciudad.com.ar/cgi-bin/creawebmail.pl?user=testuser&
  77.          pass=anypassword&srvid=1
  78.   [En una linea]
  79.  
  80. Habremos creado una nueva cuenta evitando las comprobaciones (y las pantallas
  81. de informacion personal :-) )
  82.  
  83. Podemos secuestrar la cuenta de nadie@ciudad.com.ar poniendo su nombre en
  84. el campo user, es importante anotar que todos las carpetas existentes son
  85. _borradas_ al actuar asi.
  86.  
  87.  
  88.  
  89. [#3]  Acceder al fichero de claves
  90.  
  91. Mas de 150.000 contrase±as estaban completamente al descubierto para
  92. cualquier internauta, el problema es mayor considerando que:
  93.  
  94. - Muchas de estas claves pueden estar siendo usadas en otros servicios de
  95. ciudad.com.ar como el chat o la mensajeria instantanea.
  96. - Prima, el due±o de ciudad.com.ar, es un PSI nacional en Argentina, muchos
  97. usuarios tendran la misma clave para su cuenta de correo web, su conexion,
  98. su cuenta POP, acceso FTP ..etc.
  99.  
  100. Una vez claro que la instalacion de EdgeMail era explotable es tan simple
  101. como:
  102.  
  103.   http://vulnerablesiteen.ciudad.com.ar/edgemail/auth/users
  104.  
  105. Lo que podria haber permitido a potenciales intrusos obtener acceso libre
  106. e ilimitado a cuentas de usuarios confiados, borrar mensajes individuales,
  107. falsificar mensajes..etc.
  108.  
  109.  
  110.  
  111. [#4]  Obtener la configuracion de cuentas POP
  112.  
  113. Es comodo consultar la cuenta POP desde el navegador y agradable el concentrar
  114. correo de diferentes cuentas en un solo lugar, pero no es agradable cuando 
  115. te expones a ver todas tus cuentas comprometidas de una sola vez. Como muchos
  116. sistemas, EdgeMail te permite consultar cuentas de correo remotas y ofrece
  117. la posibilidad de guardar la configuracion para su uso en futuras sesiones,
  118. esta configuracion incluye: servidor POP, nombre de usuario POP, y clave POP.
  119. EdgeMail guarda esta informacion en un fichero de datos bajo el subdirectorio
  120. /data, vayamos a:
  121.  
  122.  
  123.   http://vulnerablesiteen.ciudad.com.ar/edgemail/data/pops
  124.  
  125. Apostamos sobre seguro diciendo que muchas de estas claves son tambien 
  126. usadas para conexiones a Internet y acceso FTP lo que compromete nuevas
  127. cuentas en diferentes PSIs.
  128.  
  129.  
  130.  
  131. [#5]  Determinar usuarios activos
  132.  
  133. Alguna vez te has preguntado si nadie@ciudad.com.ar esta en linea ahora?.
  134. Que IP estara usando?. Solo que quiza el no quiera decirtelo..que podemos
  135. hacer?. Creo que te va a encantar la caracteristica de usuarios activos
  136. de EdgeMail :-). Solo teclea lo siguiente:
  137.  
  138.   http://vulnerablesiteen.ciudad.com.ar/edgemail/active/
  139.  
  140. Y te mostrara un listado de todos los usuarios actualmente dentro del
  141. sistema junto con su direccion IP. Un _ejemplo_:
  142.  
  143.  
  144.      adxxx@200.41.229.xxx:+  15-Jan-99 22:32     0K  
  145.      adrxx@200.43.37.xxx:00+ 15-Jan-99 22:14     0K  
  146.      adrixx_xxxxx@200.16.1+  15-Jan-99 21:45     0K  
  147.      adrixxxxxx@200.42.16.+  15-Jan-99 22:31     0K  
  148.      adrixxxxxxx@24.232.9.+  15-Jan-99 22:11     0K  
  149.      adriaxxxxxxx@168.96.1+  15-Jan-99 22:55     0K  
  150.      ......................  ...............     .. 
  151.      ......................  ...............     .. 
  152.  
  153.  
  154.  
  155.  
  156.  
  157. - 03 -----------------   P&R: Preguntas y Respuestas  ---------------
  158.  
  159.  
  160. 0x01?  Soy un usuario de ciudad.com.ar, que debo hacer?
  161.  
  162. Cambia tus claves INMEDIATAMENTE, cambia todas las claves que puedan haber
  163. sido reveladas, no olvides comprobar que no estas usando la misma clave para
  164. acceder a otros servicios.
  165. No te preocupes por tu correo, se que suena raro, el admin de ciudad ya
  166. ha sido informado y habra corregido todos los problemas para cuando tu leas
  167. esto.
  168.  
  169.  
  170. 0x02?  Estoy usando EdgeMail en mi web, estoy en peligro?
  171.  
  172. Lo siento pero no podemos decirtelo, nuestra opinion es que se trata de
  173. un problema especifico de la configuracion de ciudad.com.ar y no de 
  174. EdgeMail. Prueba las URLs de ejemplo que aparecen arriba, si funcionan
  175. en tu sitio entonces tienes problemas!
  176.  
  177.  
  178. 0x03?  Estoy usando (elige nombre) como correo en web, es seguro?
  179.  
  180. No hay sistemas seguros, los bugs surgen y desaparecen, NO deberias usar
  181. estos sistemas para guardar o enviar informacion confidencial como datos
  182. financieros, numeros de VISA, claves..etc. Desafortunadamente mucha gente
  183. no lo sabe o no le importa y un dia pueden encontrarse que han aprendido de
  184. la peor manera.
  185. Repetimos, NO USES sistemas de correo en web (HotMail, YahooMail..etc) para
  186. guardar nada que no quieras que todo el mundo vea.
  187. Tambien deberias comenzar a plantearte el cifrar tus mensajes.
  188.  
  189.  
  190.  
  191.  
  192.  
  193. - 04 --------------------   Conclusiones   --------------------------
  194.  
  195. Tranquilo, si tienes una cuenta en ciudad.com.ar debes saber que ahora
  196. esta posiblemente mas segura que nunca :->. Presta atencion a los consejos
  197. dados arriba, usa criptografia (no guardes las claves en el servidor!!),
  198. intenta mantenerte al dia en cuestiones de seguridad y relajate....
  199. la vida es bella.
  200.  
  201.  
  202. Enlaces:
  203.  
  204. http://www.ciudad.com.ar             -- Web principal de Ciudad
  205. http://www.set-ezine.org             -- SET
  206. http://www.edgemail.com                  -- Edgemail
  207. http://packetstorm.securify.com/mag/set   -- Copias del ezine SET 
  208.  
  209.  
  210.  
  211. Permiso otorgado para su copia y distribucion.
  212.  
  213. SET (c) 1999 .
  214.