jueves, 28 de enero de 2016

Más institutos que enseñan todo, menos seguridad

Me apena y mucho ver cómo hay institutos que no se preocupan por la seguridad de sus respectivas webs, webs en las cuales tienen a alumnos dados de alta y los están poniendo en peligro a todos, por no seguir unas medidas básicas. Y es que la cosa que cada vez encuentro más institutos en los cuales, la seguridad no ha pasado por ellos.

Aunque más triste es que tenga que preguntar a los afectados cómo se toman ellos el que les reporte algún fallo de seguridad.


Y es que últimamente estoy trabajando con muchos institutos, mirando cómo tienen de segura su web, y lo que me encuentro es para llevarse las manos a la cabeza.

Pero empecemos por lo más básico, que es como siempre, los metadatos. Y cómo no, la primera en la frente, primera fuga de información.




Aunque vamos con algo superior, que es un Blind SQL Injection, sí, no sé porqué los institutos y colegios que me he encontrado, sufren esto que es más que conocido, pero estos profesores, por lo que se ve, no han hecho los deberes.





Esto del Blind SQLi es algo ya que más que hablado y que se conoce y que cualquiera puede explotarlo y usarlo en su propio beneficio. Además, por supuesto, sin HTTPs, ya que ¿Para qué poner dificultades al atacante, mejor que sea en HTTP y que cualquiera solo tenga que conectarse a la misma red que a la que se conecta un usuario de este instituto y hacer algo tan sencillo como abrir el analizador de tráfico de red y poner un filtro y....YA TA. Ni mierdas de SSL Strip ni leches.


Y ya tenemos el usuario y contraseña que he escrito ALEATORIAMENTE, y simplemente haciendo uso de WireShark, tendríamos las credenciales de la víctima que introduzca sus credenciales. ¿Qué es lo peor? Pues que con ese usuario/usuario como nick y password....PUEDES ENTRAR



Y vemos que el día 25 de enero, de 7 a 9 de la tarde, estuvieron en una reunión, lo que quiere decir es que en sus casas NO ESTUVIERON, con lo que un alumno resentido podría hacer cosas muy malas en sus casas, como entrar, romper la casa y robar exámenes; que además en este instituto es conocido eso de tirar sillas a los profesores, 100% real.

Además tienen un moodle muy bonito donde los alumnos escriben sus credenciales y....ah bueno, se me olvidaba, en HTTP también.




Aunque vamos más allá aún, vamos a los robots.txt del Blas Infante-instituto afectado- y nos encontramos lo que todo hacker desea encontrarse en los robots.txt.....el famoso /administrator/



Así que sabemos que es un Joomla. Bueno, pues vamos a ver si el Joomla lo tienen actualizado a la última versión- ya que de lo contrario no tendría parcheado los fallos de seguridad de versiones antiguas-. ¿Y cómo vemos la versión del Joomla? Pues so easy, bitch, con sólo escribir detrás del dominio /administrator/manifests/files/joomla.xml y veríamos los archivos que están en raíz.


Pues ya sólo buscamos el htaccess.txt para conocer la versión del Joomla.


Y veremos que tienen un Joomla 1.7 ¿Problema? Pues que hace algo más de un mes, se descubrió una vulnerabilidad 0-day crítica en las versiones de Joomla del 1.5 al 3.4.5. Que por eso Joomla publicó la versión 3.4.6 para solucionar estos errores. Esta vulnerabilidad no es menos que le permitía ejecutar código arbitrario, aquí tenéis más info.

La cosa es tan sencilla como esta, y ya conté como en 5 minutos encontré unos fallos en Trinitarios Córdoba y ahora la afectada es la web de Blas Infante, y que me afecta porque tengo conocidos allí a los cuales tengo mucho cariño. Por supuesto esto está ya más que reportado a la espera de que solucionen estos fallos.

Hasta la próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...