Cas real d’auditoria de seguretat: Cerca manual de vulnerabilitats.

Les aplicacions de cerca de bugs, com ara NESSUS o OPENVAS, son de gran utilitat alhora de fer un pentest però no oblidem que son eines automatitzades i per tant donen falsos positius, no exploren totes les possibilitats i fins i tot podrien donar algun fals negatiu.

És aquí on intervé el pentester professional, repassant resultat i explorant manualment allò que el programa no pot fer, i molts cops amb una mica de perseverança i imaginació és quan s’aconsegueixes el premi: comprometre el sistema.

Aquest és un exemple real que, ara que ja s’han solucionat els problemes de seguretat i tinc el permís del client, us explicaré.  Es tractava d’una auditoria perimetral, de caixa negre, a una empresa  catalana dedicada al hosting web.  En un punt de l’auditoria vaig descobrir una secció una mica oculta on es permetia pujar imatges mitjançant un formulari molt simple.  Segons semblava, com que molts dels seus clients tenien fòrums especialitzats, era una característica molt demanada per a pujar imatges, avatars, firmes, etc.

L’aplicació tan sols tenia dos botons, un per navegar en el nostre ordinador i triar l’arxiu de la imatge a pujar i un altre per enviar-la.

Imatge correctament pujada.

Imatge correctament pujada.

Un cop fet ens mostrava la imatge (en el cas anterior el Dr. Slump en “plan serios”) i, si miraves una mica més amb cura, veies que totes les imatges es pujaven a la mateixa carpeta i mantenien el nom i extensió de la imatge origina.

Adreça de ka imatge pujada, fixeu-vos que conserva el nom de la imatge original.

Adreça de ka imatge pujada, fixeu-vos que conserva el nom de la imatge original.

Aquesta petita aplicació constituïa un punt d’entrada al sistema molt llaminera, ja que permetia poder pujar arxius sens autentificar-nos enlloc!! Tan sols si aconseguia pujar una webshell podria tenir accés al servidor amb els permisos que utilitzes el servei de pàgines web, i amb una mica de sort serien permisos de sistema.  Però com era d’esperar l’aplicació web filtrava d’alguna manera el tipus d’arxiu pujat, acceptant tan sols imatges.

Error al intentar pujar un arxiu PHP.

Error al intentar pujar un arxiu PHP.

Calia pensar com evadir el sistema de filtratge de l’aplicació.  Per tenir control total sobre l’enviament de l’arxiu vaig utilitzar l’extensió Tramper Data per FireFox que em permetria capturar els paquets enviat i rebuts des del meu navegador i modificar-los al gust de forma molt còmode.

La primera prova va ser modificar el tipus de enviament, mitjançant el paràmetre Content-Type de les capçaleres HTML, per indicar al servidor que el que enviava era una imatge “image/jpg” i no una “application/html“… una petita mentida, a veure si s’ho empassava…

Tramper Data: Modificació del valor Content-Type.

Tramper Data: Modificació del valor Content-Type.

El resultat va ser fulminant, l’arxiu es va pujar correctament!! A partir de aquí va ser tant senzill com obrir la URL corresponent, seguint el patró de noms que havia vist en l’enviament de imatges, i verificar que efectivament tenia permisos de sistema dins del servidor auditat.

WebShell penjat al servidor.

WebShell penjat al servidor.

Tenint en compte l’abast del forat de seguretat trobat, vaig avisar al client al moment tot indicant què calia que modifiquessin i varies indicacions més de com filtrar correctament la pujada d’arxius.

Aquest petit relat és tan sols un exemple per a posar en valor la figura del pentester i de la necessitat de realitzar auditories de seguretat per part de les empreses.  Aquesta empresa en concret tenia varis problemes de seguretat que acaben en l’accés al servidor i per tant en l’accés a les dades dels seus clients, tant dades administratives com dades de producció.

Queda clar doncs que, tot i que una empresa estigui centrada en les TIC i el seu personal sigui especialista en el tema, poden existir forats de seguretat que un bon pentester trobarà i posarà de manifest per a la seva resolució i així millorar el servei que ofereix l’empresa envers els seus clients, reduir riscos i donar més confiança i transparència.

Advertisements

~ per madyyelf a 4 Abril 2014.