SET Noviembre 1999 http://www.imedia.es/set/web/set-1199.txt ---[ CONTENIDOS ]--- - 01 - Introduccion - 02 - Problemas encontrados - 03 - P&R - 04 - Conclusiones - 01 ---------------------- Introduccion ------------------------ Varios miembros de SET han descubierto fallos cruciales en la seguridad de ciudad.com.ar, al parecer debidos a la incorrecta configuracion del programa EdgeMail utilizado para ofrecer servicios de correo en web. Ciudad.com.ar es un portal argentino que ofrece cuentas de correo en web, chat y mensajeria instantanea tipo ICQ, mas de 150.000 cuentas pueden haber sido comprometidas. - 02 ---------------------- Problemas encontrados --------------- Tras averiguar que ordenador era responsable de ofrecer el servicio y almacenar los datos nos dimos cuenta de que cualquiera podia: #1 Leer cualquier mensaje #2 Secuestrar cuentas #3 Acceder al fichero de claves #4 Obtener la configuracion de cuentas POP #5 Determinar los usuarios activos [#1] Leer cualquier mensaje Yendo a una direccion URL es posible leer cualquier mensaje guardado en el servidor sin necesidad de ningun tipo de autenticacion, un ejemplo: http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/ Mostrara un listado de directorios con entradas para los caracteres [0-9,a-z], los mensajes de cada usuario se guardan en el directorio correspondiente a la primera letra de su nombre de usuario. Imagina que quisieramos ver el correo de "nadie", iriamos a: http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/n/ Leeremos el listado hasta encontrar entradas como: ./n/nadie.InBox 4k ./n/nadie.Sent 3k Haciendo click en el enlace nos aparecera el habitual fichero de texto con formato Unix que contiene todos los mensajes de esa carpeta. [#2] Secuestrar cuentas Mientras que el primer problema 'solo' permite al atacante leer el correo, encontramos que es posible "arrebatar" a su propietario cualquier cuenta, crear una nueva cuenta en ciudad.com.ar es un proceso de tres pasos, el primero comprueba el nombre de usuario deseado y devuelve un error si ya existe, el fallo se encuentra en que el script Perl que efectua la creacion de la cuenta NO CHEQUEA que esta exista, recuerda que esto se comprobaba en el paso 1, asi que si vamos a una URL como: http://vulnerablesiteen.ciudad.com.ar/cgi-bin/creawebmail.pl?user=testuser& pass=anypassword&srvid=1 [En una linea] Habremos creado una nueva cuenta evitando las comprobaciones (y las pantallas de informacion personal :-) ) Podemos secuestrar la cuenta de nadie@ciudad.com.ar poniendo su nombre en el campo user, es importante anotar que todos las carpetas existentes son _borradas_ al actuar asi. [#3] Acceder al fichero de claves Mas de 150.000 contraseñas estaban completamente al descubierto para cualquier internauta, el problema es mayor considerando que: - Muchas de estas claves pueden estar siendo usadas en otros servicios de ciudad.com.ar como el chat o la mensajeria instantanea. - Prima, el dueño de ciudad.com.ar, es un PSI nacional en Argentina, muchos usuarios tendran la misma clave para su cuenta de correo web, su conexion, su cuenta POP, acceso FTP ..etc. Una vez claro que la instalacion de EdgeMail era explotable es tan simple como: http://vulnerablesiteen.ciudad.com.ar/edgemail/auth/users Lo que podria haber permitido a potenciales intrusos obtener acceso libre e ilimitado a cuentas de usuarios confiados, borrar mensajes individuales, falsificar mensajes..etc. [#4] Obtener la configuracion de cuentas POP Es comodo consultar la cuenta POP desde el navegador y agradable el concentrar correo de diferentes cuentas en un solo lugar, pero no es agradable cuando te expones a ver todas tus cuentas comprometidas de una sola vez. Como muchos sistemas, EdgeMail te permite consultar cuentas de correo remotas y ofrece la posibilidad de guardar la configuracion para su uso en futuras sesiones, esta configuracion incluye: servidor POP, nombre de usuario POP, y clave POP. EdgeMail guarda esta informacion en un fichero de datos bajo el subdirectorio /data, vayamos a: http://vulnerablesiteen.ciudad.com.ar/edgemail/data/pops Apostamos sobre seguro diciendo que muchas de estas claves son tambien usadas para conexiones a Internet y acceso FTP lo que compromete nuevas cuentas en diferentes PSIs. [#5] Determinar usuarios activos Alguna vez te has preguntado si nadie@ciudad.com.ar esta en linea ahora?. Que IP estara usando?. Solo que quiza el no quiera decirtelo..que podemos hacer?. Creo que te va a encantar la caracteristica de usuarios activos de EdgeMail :-). Solo teclea lo siguiente: http://vulnerablesiteen.ciudad.com.ar/edgemail/active/ Y te mostrara un listado de todos los usuarios actualmente dentro del sistema junto con su direccion IP. Un _ejemplo_: adxxx@200.41.229.xxx:+ 15-Jan-99 22:32 0K adrxx@200.43.37.xxx:00+ 15-Jan-99 22:14 0K adrixx_xxxxx@200.16.1+ 15-Jan-99 21:45 0K adrixxxxxx@200.42.16.+ 15-Jan-99 22:31 0K adrixxxxxxx@24.232.9.+ 15-Jan-99 22:11 0K adriaxxxxxxx@168.96.1+ 15-Jan-99 22:55 0K ...................... ............... .. ...................... ............... .. - 03 ----------------- P&R: Preguntas y Respuestas --------------- 0x01? Soy un usuario de ciudad.com.ar, que debo hacer? Cambia tus claves INMEDIATAMENTE, cambia todas las claves que puedan haber sido reveladas, no olvides comprobar que no estas usando la misma clave para acceder a otros servicios. No te preocupes por tu correo, se que suena raro, el admin de ciudad ya ha sido informado y habra corregido todos los problemas para cuando tu leas esto. 0x02? Estoy usando EdgeMail en mi web, estoy en peligro? Lo siento pero no podemos decirtelo, nuestra opinion es que se trata de un problema especifico de la configuracion de ciudad.com.ar y no de EdgeMail. Prueba las URLs de ejemplo que aparecen arriba, si funcionan en tu sitio entonces tienes problemas! 0x03? Estoy usando (elige nombre) como correo en web, es seguro? No hay sistemas seguros, los bugs surgen y desaparecen, NO deberias usar estos sistemas para guardar o enviar informacion confidencial como datos financieros, numeros de VISA, claves..etc. Desafortunadamente mucha gente no lo sabe o no le importa y un dia pueden encontrarse que han aprendido de la peor manera. Repetimos, NO USES sistemas de correo en web (HotMail, YahooMail..etc) para guardar nada que no quieras que todo el mundo vea. Tambien deberias comenzar a plantearte el cifrar tus mensajes. - 04 -------------------- Conclusiones -------------------------- Tranquilo, si tienes una cuenta en ciudad.com.ar debes saber que ahora esta posiblemente mas segura que nunca :->. Presta atencion a los consejos dados arriba, usa criptografia (no guardes las claves en el servidor!!), intenta mantenerte al dia en cuestiones de seguridad y relajate.... la vida es bella. Enlaces: http://www.ciudad.com.ar -- Web principal de Ciudad http://www.set-ezine.org -- SET http://www.edgemail.com -- Edgemail http://packetstorm.securify.com/mag/set -- Copias del ezine SET Permiso otorgado para su copia y distribucion. SET (c) 1999 .