miércoles, 10 de febrero de 2016

A MedNet no le bombea bien la Seguridad

Ayer ya os contaba sobre la importancia de la seguridad informática en entornos médicos, y os contaba brevemente el caso de MedNet, la eClínica que da soluciones clínicas a través de Internet. Pues bueno, esta noche me he puesto a jugar un poco con esta web y he encontrado fallos de estos sencillos y que no se suelen corregir.


Yo siempre cuando empiezo a analizar un sitio, siempre empiezo por los metadatos y busco a los usuarios por sus perfiles de Linkedin y veo cuánta información se dejan de manera pública en Internet. HTTPs


Como podemos ver, el usuario que más documentos escribe-45- es este tal Dirk Nelson, y si nos vamos a su perfil de Linkedin, vemos que es el director de Marketing, con lo que le podremos preparar un ataque que todo director de Marketin vaya a abrir como por ejemplo "INCREMENTAR VENTAS DE TU EMPRESA.EXE".

Pero después de eso también me gusta jugar un poco con los robots de los sitios a los que me dedico a analizar, y jugando me encuentro bastantes cosas.


Y claro, ese /wp-admin/ es siempre muy tentador para saber si va bajo HTTP o HTTPs y qué grado de difiltad tendría robarle el usuario y contraseña al admin, si basta con abrir un analizador de tráfico de red, o hay que "currar" un poco más y hay que hacer un SSL Strip y quitar la S de la HTTPs.


Encima de ir en HTTP, es susceptible a ataques de Blind SQLi, como podéis ver en la captura donde he probado el famoso and 1=1. Así que si no quieres hacer el Blind SQLI, puedes simplemente conectarte a la misma red que el admin y robarle la passwrd con un analizador de tráfico de red.

Pero como he dicho antes, jugando y jugando te encuentras con cosas curiosas cuanto menos, en este caso, dos cosas bastantes curiosas, una es un xmlrpc.

Para qué sirve xmlrpc

Esto es algo que supongo que ya sabréis todos, pero que igualmente me voy a parar a explicar por si hay alguno que no lo sepa.

Xmlrpc.php es el encargado de permitirnos postear remotamente a través de Microsoft Word, Textmate, Thunderbird, smartphones, entre otros clientes. Todo ello a través del protocolo XML-RPC.

Además será quien se encargue de recibir los pingbacks (enlaces de otros blogs hacía alguno de nuestros artículos) y enviar los trackbacks (enlaces de nuestro blog hacía artículos de otro blog).

Con lo que podríamos pensar maliciosamente y cambiar esto y cambiar los trackbacks para que apunten a un DNS  que hayamos infectado con la que simplemente conectándose ya queden infectados.

Pero además, este xmlrpc, también es conocido por ser susceptible a ataques DDOS, es lógico, ya que nos basamos en saturar el servidor con peticiones hasta que se caiga el sitio. Además es importante recordar que es una eClinica que dan soluciones a problemas clínicos, con lo que como se quede fuera de servicio, puede ser un gran problema para mucha gente.

Además en cuanto a los pingback, también hay vulnerabilidades conocidas, y es que a un atacante solo le basta con:

-Recolección interna:  Y es que el atacante puede probar puertos específicos de la red interna, con lo que Worpress va intentar resolver las peticiones de origen y va a devolver distintos mensajes de error, dependiendo si el host existe o no. Basta con probar cosas como http://subversion/webafectada.com, http://bugzilla/, etc. y ver qué nos contesta.



-Escaneo de puertos: Se pueden escanear los puertos de la red interna, y si se detecta la URL original, Worpress tratará de conectarse al puerto especificado, con lo que basta con hacer http://subversion:22/ y tratará de conectarse al puerto 22, y claro, las respuestas dependerá si está abierto o cerrado.

-Hackear el router: Es tan sencillo como reconfigurar el router interno de la red , ya que Worpress soporta URLs con credenciales, con lo que podríamos probar algo como http://admin:admin@192.168.0.1/changeDNS.asp?newDNS=aaaa para configurar el router interno. Miedo++.

Pero no es solamente esto, aunque poco no es, además también tenían vulnerabilidades del tipo .svn, algo que es bastante lógico

¿Pero qué es .svn?

Pues hay que tener unos conceptos claros:

-Repositorio: Es un gran almacén de datos y de un número indeterminado de proyectos. Este almacén contiene árboles de directorios y ficheros, y cada árbol, es una instantánea de cómo era los ficheros y directorios versionados en un momento del tiempo y recuerda todos los cambios aplicados en él. Con lo que podríamos ver la evolución de un fichero que tengan en este repositorio, lo que puede ser peligroso, porque imaginarse que fuese una declaración de Hacienda, en la que escriben todos los datos correctos, pero se percatan de que pueden defraudar a Hacienda sin que les pillen, vuelven a abrir el documento, y lo cambian; pues podría verse los cambios aplicados y qué debería hacer la Hacienda de este país para solventar este fallo.

-Copia del trabajo: ¿Dónde vas a programar y editar los archivos? -En tu entorno de trabajo: en tu ordenador. Podrás descargar (check out) una copia (parcial) de un repositorio a tu ordenador. Ahí modificas los archivos, tu código fuente, puedes compilar y hacer tus pruebas y cuando verifiques que todo funciona correctamente, puedes "publicar" esos cambios escribiendo en el repositorio. Una copia de trabajo es un árbol de directorios de tu sistema de archivos locales. En tu copia de trabajo se generan también unos subdirectorios .svn -que no debes modificar- donde Subversion registra 2 datos esenciales:
  • Revisión en la que está basado el fichero.
  • Marca de tiempo con la fecha de la última actualización del fichero desde el repositorio.
-Revisión: Al realizar un cambio en tu copia del trabajo,  lo publicas escribiendo en el repositorio, este repositorio acepta el envío, y cada vez que acepta estos envíos,  da lugar a un nuevo estado del árbol de ficheros que es llamado revisión, al cuál se le asigna un número natural único y un número mayor que el de la última revisión.

Así que dicho todo esto, no es raro encontrarse lo siguiente ¿Qué conseguías ver vosotros?


Todo esto, son fallos de seguridad que se debe de solventar, ya que esta empresa, está trabajando con personas; pero aunque no trabajase con personas, siguen siendo fallos de seguridad.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...