Hace una par de días vimos como un grupo de ciberdelincuentes publicaron cuentas de la empresa "El Corte Ingles". Aquí os traigo como accedieron a ellas, y quienes son realmente.
El grupo se hace llamar La Nueve, a pesar de estar vinculados con Anonymous. Este grupo de ciberdelicuentes filtraron cuentas de patrocinio y relaciones de la empresa ECI. Y ellos mismo han desvelado como lo hicieron.
Con esto lo que vemos es la importancia que le tenemos que dar a la seguridad en las redes de una empresa.
Comencemos:
Podemos pensar que este grupo de delincuentes accedieron a la compañía por medio de Ingeniería Social, ¡pues no! Con esto lo que quiero decir es que no se aprovecho el descuido de un empleado. Si no que se debido a un cumulo de vulnerabilidades en la red. Mientras mas grande sea una red, mas posibilidades hay de que haya agujeros. Y esta tenia unos cuantos, empezando por el nombre las URL.
Si, como lo veis, el grupo aprovecho un dirección vulnerable, atacando mediante inyección de código SQL.
Aquí podemos ver todo su proceso:
1- La parte que todos sabían: la vulnerabilidad tonta, pero en la que nadie reparó.
Y ahora viene esa parte que llamamos técnica en la que todos los expertos del mundillo de la (in)seguridad informática (la comunidad “hacker blanquita”) dicen: ¡Bah!, una simple vulnerabilidad de primero de hacking.
Pero la gracia no está en que exista, amiguitos, sino en encontrarla y explotarla sin hacer de pentester legal que avisa de ella a la empresa a cambio de fama o algún tipo de reconocimiento. Eso, es tan ilegal como lo que hacemos nosotros, así que optamos por darle otro aspecto más social como es el de liberar la información y que cada cual saque las conclusiones que prefiera. Eso ya nos da igual.
Buscamos el alojamiento corporativo de ECI:
El mapeo del hosting no nos aporta más que unas vuelnerabilidades heurísticas sobre los puertos 80 y 443 ( CVE:CVE-2007-6750 y CVE:CVE-2014-3566 OSVDB:113251) que vamos a obviar ante la certeza de que timofónica no es tan obvia.
Exploramos de forma manual cada uno de los dominios y subdominios hasta llegar a dos concretos que nos sorprenden, y que ahora están redirigidos después de publicar el leak. Son: prensa.fundacionareces.es y prensa.elcorteinglescorporativo.es
La sorpresa viene porque usan una aplicación de terceros. Una empresa aparentemente potente en el ámbito de la imagen, el márketing y la consultoría acceso y que facilita a sus clientes (veremos algunos) un sistema de gestión de contenidos para comunicaciones y notas de prensa.
Aquí tenemos una buena presa a la vista de sus “imperfecciones” en los desarrollos. Ejemplos:
- Mal manejo de las URL’s no acotando longitud de caracteres y manejo de errores
- Exposición abierta de sistema de acortamiento de URL’s que podría permitir utilizarlo para redireccionar a ubicaciones malintencionadas
Y lo más interesante… un panel de gestión de contenidos único para todos sus clientes
2 - Explorando el proveedor de contenidos de terceros (Acceso) utilizado por ECI (entre otros).
Acceso ha optado por Amazon como proveedor de servicios de alojamiento en la nube para sus webs principales y la catalana Colt Technology Service para otros desarrollos entre los que encontramos:
http://escritorio.acceso.com/indra/entiemporeal.html?comp_id=6724
http://escritorio.acceso.com/telefonica/prensa/dossier_clip.html?comp_id=10289
http://escritorio.acceso.com/endesa/entiemporeal.html?comp_id=9897
http://escritorio.acceso.com/esadealumni/prensa/dossier_clip.html?comp_id=8174
http://escritorio.acceso.com/uab/ca/dossier/prensa.html?comp_id=6656
http://escritorio.acceso.com/udg/ca/dossier/prensa.html?comp_id=5797
http://escritorio.acceso.com/upc/entiemporeal.html?comp_id=6394
http://escritorio.acceso.com/upcomillas/prensa/dossier_clip.html?comp_id=8329
https://prensa.lacaixa.es/admin/entiemporeal.html
http://escritorio.acceso.com/udl/entiemporeal.html?comp_id=10002
http://iberdrola.accesoresearch.com/admin/entiemporeal.html?comp_id=4874
http://prensa.deloitte.es/admin/entiemporeal.html?comp_id=101
http://resumdepremsa.caib.es/admin/entiemporeal.html?comp_id=9269
http://uc3m.acceso.com/admin/entiemporeal.html?comp_id=3479
http://vodafone.acceso.com/admin/entiemporeal.html?comp_id=1939
Buena cartera de clientes, ¿eh? (No seáis juguetones ¬¬)
Y, naturalmente, los referidos de prensa.fundacionareces.es y prensa.elcorteinglescorporativo.es redireccionados a las webs principales y suponemos que desmontado el gestor de Acceso.
Ya nos han preguntado varios periodistas especializados si nos hemos “divertido” también con esos targets y la verdad es que no hemos sabido responderles. ¡Es mucho delito eso! :-P
Pero centrémonos en lo realizado y no en lo que podría ser…
Un vistazo somero a las dos webs del ECI nos proporciona la posibilidad de explotación de SQLInjection en algunos parámetros:
http://prensa.fundacionareces.es/show_new.html?id=3489
prensa.elcorteinglescorporativo.es/view_object.html?cat_id=03&obj=16,c,22
La explotación nos descubre un back-end DBMS: PostgreSQL > 8.1 sobre un Linux Ubuntu 10.04 (Lucid Lynx) y tecnología webserver PHP 5.3.2, Apache 2.2.14
Se liberan 3 BD
[*] information_schema
[*] pg_catalog
[*] public
[*]public con 125 Tablas es el core de la aplicación, mientras que [*]pg_catalog es utilizada por el sistema de listas de correo.
El dump de las tablas de usuarios nos proporciona otra sorpresa: los passwords no están hasheados, se visualizan en plano para mayor alegría y menos curro para descifrarlos.
Suponemos que los sysadmins de Acceso ya estarán al loro de la exposición de la ropa interior de su gestor de contenidos, pero si no, ¡ya estáis corriendo!
Las capturas de pantalla que siguen corresponden a algunos usuarios testados
* Menú del gestor de actividades:
* Gestión de listas de correo:
(los usuarios ya no existen por lo que no ofuscamos ni user ni pass)
El resto ya es conocido por todos. Dumpeo y exposición de lo que consideramos interés público.
Entradas
![](https://www.pinterest.com/pin/create/button/?url=https://estuteleco.blogspot.com/2016/02/como-accedio-anonymous-al-servidor-de.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxkSdZWTxM9kEyPvPUc2TxOyWptxjLcTQTXFIRestOirHQItJLfn2qSShwqWHUfcvOmNl0qHFERhiUpoxffXBZtG65J1_aVwohHK3_F5agfWb7-HDKtBslRwH6a2dyf3NsJ-JFm3Yxdzo/s400/hacken-la-web-del-corte-ingles-830x304.png&description=¿Como accedió "Anonymous" al servidor de El Corte Ingles?){kind=link}
0 Comentarios