Boletín de Seguridad Cuat. 1A

Bueno, aquí estamos con el momento que todos ansiabais, el boletín de Seguridad del cuatrimestre A del primer curso (para mí). Aunque he encontrado tres vulnerabilidades en los sistemas informáticos del poli, vamos a omitir una de ellas que, aunque podría aplicarse sobre los equipos de casi cualquier persona, no ha podido ser arreglado aun por la persona gracias a la que lo descubrí (así que lo dejaremos para la próxima edición de este boletín).

De estas vulnerabilidades una tiene un grado deseveridad crítico y afecta a los foros del sistema de comunicaciones del poliformat mientras que la segunda afecta particularmente (lo que no significa únicamente) al sistema de correo del DSIC y tiene un grado de severidad moderado.

Empecemos.

La primera vulnerabilidad es muy fácil de explotar y es debida a una mala configuración de los permisos por defecto que da el poliformat. Posiblemente, también afecte a otros sistemas basados en sakai con versiones semejantes. Dicha vulnerabilidad permite en cualquier foro donde se apliquen los permisos por defecto, que los alumnos puedan editar los mensajes de otros usuarios, revisando, además, los permisos para impedir a otros usuarios volver a editarlos. Para revisar los permisos simplemente hay que hacer clic en el botón “Configurar Tema”, luego abajo en el botón “Revisar” y voila ya podéis tanto editar el tema como los permisos (esto último haciendo clic en la pestaña de Permisos).
Ahora que ya tenéis permisos para editar todos los mensajes (aplicando a alumnos la opción de “Revisar Enviados:” “Todos”), podéis proceder a la edición de los mismos: abrís el mensaje a editar, le dais al botón revisar y listo, ya podéis revisarlo.

Hay que añadir que esta vulnerabilidad tiene fácil solución modificando tanto los permisos que se asignan por defecto a los temas como los de los temas ya publicados.

Aviso Importante: Generalmente sakai añade a los mensajes revisados quien ha hecho la última revisión, eso significa que en caso de que aprovechéis esta vulnerabilidad, será fácil descubrir quien es el responsable.

Pasemos a la vulnerabilidad del sistema de correo del DSIC. En el DSIC utilizan Amavisd-new cómo sistema de filtrado de correo y lo tienen configurado para que notifique al remitente en caso de que el correo no pueda ser entregado. Entre otras restricciones tienen la imposibilidad de mandar archivos con el mime-type de ejecutable.
¿Cómo utilizar dicha vulnerabilidad?
Muy sencillo en primer lugar debemos crearnos un mensaje que contenga dichas cabeceras o un ejecutable, en él debemos editar el campo FROM para que parezca haber sido enviado por la víctima y el TO: por la dirección de un profesor del DSIC. Ahora lo guardamos y utilizando un programa como mail y un bucle while lo enviamos indefinidamente a la cuenta del profesor (que también puede ser la víctima). Si hemos sido inteligentes nuestro mensaje no debería llegar a ocupar más de 1k; ahora, si esperamos comprobaremos como la cuenta de la víctima se va llenando de avisos que ocupan al menos 5ks. Esto nos permitiría bombardear fácilmente la cuenta (y la cuota) de una víctima aumentando varias veces la velocidad y efectividad del ataque. Evidentemente, en caso de que cambien las políticas de amavisd, dicha vulnerabilidad será evitada.

Aviso Importante: En las cabeceras de vuestros mensajes, que son añadidas al mensaje de aviso, constan entre otras cosas la dirección IP desde la que se ha enviado el mensaje. Si apreciáis vuestros traseros mínimante, y no queréis acabar en el cuadro de honor de los técnicos del DSIC (y que si os reconocen os corten las pelotas) utilizareis al menos uno o dos proxys para la ejecución del programa de bombardeo.

10 Replies to “Boletín de Seguridad Cuat. 1A”

  1. Me parece fascinante lo de los permisos de los foros. Aunque como bien dices, Sakai es el gran hermano que todo lo ve, y ningún usuario anónimo puede entrar en sus dominios. No me parece nada interesante formar parte del cuadro de honor de los técnicos, ya que sólo son ténicos de la escuela. Si fueran de la superior, ya me lo pensaría, xD (aunque no sería tan tonto de dejarme tan expuesto haciendo esas cosas con mi usuario en el poliformat)

    Lo de los mails ya me di cuenta yo el primer año, y mira que lo pensé hacer con algún que otro profe de física, xD Pero me eché atrás por el tema de la IP :/ También se me pasó por la cabeza lo de los proxys, encontré algunos anónimos y uno de ellos incluso funcionaba (aunque relativamente lento). Con todas las armas sobre la mesa, decidí que la culpa de que yo suspendiera física no la tenían ellos, sino yo. Con lo que dejé las cosas estar por el momento…

  2. Ya veo, la diferencia está en que dudo que pretendieras hacer el mismo ataque que propongo.

    Mi idea pasa por ampliar el tamaño del mensaje usando el amavisd-new del DSIC para así conseguir hacerlo en menos tiempo. Yo nunca he pensado en realizar este ataque contra una persona concreta, aunque sí que pensé (y demostré) la posibilidad de hacerlo.

  3. vaya, que chanante que la gente postee este tipo de cosas!! Peeeeroooo…. xiscoooo no pongas las vulnerabilidades del poliformat o acabarás cobrando tu jajajajajaja!!!

    pon cosas más anecdóticas y graciosas…. o videos del youtube, a la gente le mola mas 😛

  4. Lo cierto es que lo hago en aras de que los operadores me hagan caso de una puta vez cuando les mando los reportes.

    Respecto a anécdotas, cosas graciosas, la idea de este blog no era mucho esa sino más bien la crítica. Aunque quizás algún día me degrade a ese nivel.

    Señores del Poliformat: All your forums are belong to us xDDDDDD

  5. Es curioso pero recordareis que este boletín lo publiqué el día 6, pues misteriosamente, el día 7 a las 11:15 me mandaron una respuesta al parte de incidencia que les mandé una semana antes xDDDDD

    Lo más gracioso es que se lo mandé usando mi cuenta de xiscosoft y me han contestado a la del poli. ¿Sabrán ya quien soy yo?

  6. Por eso no tienes nunca tiempo…. Andas haciendo trastadas en el poli jajaja, me parece interesante lo que has dicho….te apetece probar con los sistemas de la UA y su Campus Virtual?…Esque me ha quedao álgebra….:P

    PD: Mi primera respuesta en tu web, muahaha

  7. OMFG gott1n6 pw3n w1th a DoS 4tt4ck 46415nt email 4cc0unt 15 n0t 1337 is very lamer ROTFLMAO

  8. Com diem así anem per parts ^^

    Me has pillado Xexu, no esperaba que descubrieras ahora a mi hijo. Lo que ves aquí no es en absoluto una maravilla de descubrimientos sino descubrimientos que he echo por un 75% de casualidad y un 25% de conocimientos+investigación. Espero verte más a menudo por aquí.

    4n0nym0us c0w4rd:
    You shall know that the main reason for posting the second vulnerability isn’t the fact of it being a DoS attack but the fact that as they have configured they amavisd server it would be very effortless and less time costing to do.

    I never have pretended it wasn’t lame or stupid just the fact of increasing heavily an e-mail size which could make easier to do an attack of that kind. Although I have still some aces under my sleeve which I won’t pretend to discover, at least not now.

    Hope you could understand then why I posted that.

    Y dicho esto, 4n0nym0us c0w4rd se que estbas escribiendo desde el poli a las 12:40, concretamente aula 2 equipo 12 ¿necesitas que siga sacando trapos?

  9. Hola Xisco, cuando tengas un rato, ves a la biblioteca de la facultad. Si vas al fondo, hay unos pcs… busca el que pone KIOINF006 y a continuación inicia sesión como invitado. El resto lo dejo de tu parte 🙂

    Te toca mover ficha 🙂

Comments are closed.