what you don't know can hurt you
Home Files News &[SERVICES_TAB]About Contact Add New

set-1199.txt

set-1199.txt
Posted Nov 29, 1999
Authored by set

Several members of SET have discovered key flaws in the security of ciudad.com.ar, the incorrect configuration of EdgeMail system, used to offer mail services trough web, appears to be the cause. Ciudad.com.ar is an Argentinian portal offering free webmail accounts as well as chat and ICQ-style messaging, over 150.000 accounts could have been compromised. SET homepage here.

tags | web, magazine
SHA-256 | e55e2ce0dec976ae6378f5e13e1d2fbc28bf63420c38a60280843f3589652266

set-1199.txt

Change Mirror Download


SET <set-fw@bigfoot.com>
Noviembre 1999 http://www.imedia.es/set/web/set-1199.txt


---[ CONTENIDOS ]---

- 01 - Introduccion
- 02 - Problemas encontrados
- 03 - P&R
- 04 - Conclusiones




- 01 ---------------------- Introduccion ------------------------

Varios miembros de SET han descubierto fallos cruciales en la seguridad de
ciudad.com.ar, al parecer debidos a la incorrecta configuracion del programa
EdgeMail utilizado para ofrecer servicios de correo en web.
Ciudad.com.ar es un portal argentino que ofrece cuentas de correo en web,
chat y mensajeria instantanea tipo ICQ, mas de 150.000 cuentas pueden haber
sido comprometidas.




- 02 ---------------------- Problemas encontrados ---------------

Tras averiguar que ordenador era responsable de ofrecer el servicio y
almacenar los datos nos dimos cuenta de que cualquiera podia:

#1 Leer cualquier mensaje
#2 Secuestrar cuentas
#3 Acceder al fichero de claves
#4 Obtener la configuracion de cuentas POP
#5 Determinar los usuarios activos



[#1] Leer cualquier mensaje

Yendo a una direccion URL es posible leer cualquier mensaje guardado en el
servidor sin necesidad de ningun tipo de autenticacion, un ejemplo:


http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/

Mostrara un listado de directorios con entradas para los caracteres [0-9,a-z],
los mensajes de cada usuario se guardan en el directorio correspondiente a la
primera letra de su nombre de usuario. Imagina que quisieramos ver el correo
de "nadie", iriamos a:

http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/n/

Leeremos el listado hasta encontrar entradas como:

./n/nadie.InBox 4k
./n/nadie.Sent 3k

Haciendo click en el enlace nos aparecera el habitual fichero de texto con
formato Unix que contiene todos los mensajes de esa carpeta.


[#2] Secuestrar cuentas

Mientras que el primer problema 'solo' permite al atacante leer el correo,
encontramos que es posible "arrebatar" a su propietario cualquier cuenta,
crear una nueva cuenta en ciudad.com.ar es un proceso de tres pasos, el
primero comprueba el nombre de usuario deseado y devuelve un error si ya
existe, el fallo se encuentra en que el script Perl que efectua la creacion
de la cuenta NO CHEQUEA que esta exista, recuerda que esto se comprobaba
en el paso 1, asi que si vamos a una URL como:

http://vulnerablesiteen.ciudad.com.ar/cgi-bin/creawebmail.pl?user=testuser&
pass=anypassword&srvid=1
[En una linea]

Habremos creado una nueva cuenta evitando las comprobaciones (y las pantallas
de informacion personal :-) )

Podemos secuestrar la cuenta de nadie@ciudad.com.ar poniendo su nombre en
el campo user, es importante anotar que todos las carpetas existentes son
_borradas_ al actuar asi.



[#3] Acceder al fichero de claves

Mas de 150.000 contraseñas estaban completamente al descubierto para
cualquier internauta, el problema es mayor considerando que:

- Muchas de estas claves pueden estar siendo usadas en otros servicios de
ciudad.com.ar como el chat o la mensajeria instantanea.
- Prima, el dueño de ciudad.com.ar, es un PSI nacional en Argentina, muchos
usuarios tendran la misma clave para su cuenta de correo web, su conexion,
su cuenta POP, acceso FTP ..etc.

Una vez claro que la instalacion de EdgeMail era explotable es tan simple
como:

http://vulnerablesiteen.ciudad.com.ar/edgemail/auth/users

Lo que podria haber permitido a potenciales intrusos obtener acceso libre
e ilimitado a cuentas de usuarios confiados, borrar mensajes individuales,
falsificar mensajes..etc.



[#4] Obtener la configuracion de cuentas POP

Es comodo consultar la cuenta POP desde el navegador y agradable el concentrar
correo de diferentes cuentas en un solo lugar, pero no es agradable cuando
te expones a ver todas tus cuentas comprometidas de una sola vez. Como muchos
sistemas, EdgeMail te permite consultar cuentas de correo remotas y ofrece
la posibilidad de guardar la configuracion para su uso en futuras sesiones,
esta configuracion incluye: servidor POP, nombre de usuario POP, y clave POP.
EdgeMail guarda esta informacion en un fichero de datos bajo el subdirectorio
/data, vayamos a:


http://vulnerablesiteen.ciudad.com.ar/edgemail/data/pops

Apostamos sobre seguro diciendo que muchas de estas claves son tambien
usadas para conexiones a Internet y acceso FTP lo que compromete nuevas
cuentas en diferentes PSIs.



[#5] Determinar usuarios activos

Alguna vez te has preguntado si nadie@ciudad.com.ar esta en linea ahora?.
Que IP estara usando?. Solo que quiza el no quiera decirtelo..que podemos
hacer?. Creo que te va a encantar la caracteristica de usuarios activos
de EdgeMail :-). Solo teclea lo siguiente:

http://vulnerablesiteen.ciudad.com.ar/edgemail/active/

Y te mostrara un listado de todos los usuarios actualmente dentro del
sistema junto con su direccion IP. Un _ejemplo_:


adxxx@200.41.229.xxx:+ 15-Jan-99 22:32 0K
adrxx@200.43.37.xxx:00+ 15-Jan-99 22:14 0K
adrixx_xxxxx@200.16.1+ 15-Jan-99 21:45 0K
adrixxxxxx@200.42.16.+ 15-Jan-99 22:31 0K
adrixxxxxxx@24.232.9.+ 15-Jan-99 22:11 0K
adriaxxxxxxx@168.96.1+ 15-Jan-99 22:55 0K
...................... ............... ..
...................... ............... ..





- 03 ----------------- P&R: Preguntas y Respuestas ---------------


0x01? Soy un usuario de ciudad.com.ar, que debo hacer?

Cambia tus claves INMEDIATAMENTE, cambia todas las claves que puedan haber
sido reveladas, no olvides comprobar que no estas usando la misma clave para
acceder a otros servicios.
No te preocupes por tu correo, se que suena raro, el admin de ciudad ya
ha sido informado y habra corregido todos los problemas para cuando tu leas
esto.


0x02? Estoy usando EdgeMail en mi web, estoy en peligro?

Lo siento pero no podemos decirtelo, nuestra opinion es que se trata de
un problema especifico de la configuracion de ciudad.com.ar y no de
EdgeMail. Prueba las URLs de ejemplo que aparecen arriba, si funcionan
en tu sitio entonces tienes problemas!


0x03? Estoy usando (elige nombre) como correo en web, es seguro?

No hay sistemas seguros, los bugs surgen y desaparecen, NO deberias usar
estos sistemas para guardar o enviar informacion confidencial como datos
financieros, numeros de VISA, claves..etc. Desafortunadamente mucha gente
no lo sabe o no le importa y un dia pueden encontrarse que han aprendido de
la peor manera.
Repetimos, NO USES sistemas de correo en web (HotMail, YahooMail..etc) para
guardar nada que no quieras que todo el mundo vea.
Tambien deberias comenzar a plantearte el cifrar tus mensajes.





- 04 -------------------- Conclusiones --------------------------

Tranquilo, si tienes una cuenta en ciudad.com.ar debes saber que ahora
esta posiblemente mas segura que nunca :->. Presta atencion a los consejos
dados arriba, usa criptografia (no guardes las claves en el servidor!!),
intenta mantenerte al dia en cuestiones de seguridad y relajate....
la vida es bella.


Enlaces:

http://www.ciudad.com.ar -- Web principal de Ciudad
http://www.set-ezine.org -- SET
http://www.edgemail.com -- Edgemail
http://packetstorm.securify.com/mag/set -- Copias del ezine SET



Permiso otorgado para su copia y distribucion.

SET (c) 1999 .
Login or Register to add favorites

File Archive:

November 2024

  • Su
  • Mo
  • Tu
  • We
  • Th
  • Fr
  • Sa
  • 1
    Nov 1st
    30 Files
  • 2
    Nov 2nd
    0 Files
  • 3
    Nov 3rd
    0 Files
  • 4
    Nov 4th
    12 Files
  • 5
    Nov 5th
    44 Files
  • 6
    Nov 6th
    18 Files
  • 7
    Nov 7th
    9 Files
  • 8
    Nov 8th
    8 Files
  • 9
    Nov 9th
    3 Files
  • 10
    Nov 10th
    0 Files
  • 11
    Nov 11th
    14 Files
  • 12
    Nov 12th
    20 Files
  • 13
    Nov 13th
    63 Files
  • 14
    Nov 14th
    18 Files
  • 15
    Nov 15th
    0 Files
  • 16
    Nov 16th
    0 Files
  • 17
    Nov 17th
    0 Files
  • 18
    Nov 18th
    0 Files
  • 19
    Nov 19th
    0 Files
  • 20
    Nov 20th
    0 Files
  • 21
    Nov 21st
    0 Files
  • 22
    Nov 22nd
    0 Files
  • 23
    Nov 23rd
    0 Files
  • 24
    Nov 24th
    0 Files
  • 25
    Nov 25th
    0 Files
  • 26
    Nov 26th
    0 Files
  • 27
    Nov 27th
    0 Files
  • 28
    Nov 28th
    0 Files
  • 29
    Nov 29th
    0 Files
  • 30
    Nov 30th
    0 Files

Top Authors In Last 30 Days

File Tags

Systems

packet storm

© 2024 Packet Storm. All rights reserved.

Services
Security Services
Hosting By
Rokasec
close