SET <set-fw@bigfoot.com>  
Noviembre 1999    http://www.imedia.es/set/web/set-1199.txt


---[ CONTENIDOS ]--- 

- 01 -   Introduccion
- 02 -   Problemas encontrados
- 03 -   P&R
- 04 -   Conclusiones




- 01 ----------------------   Introduccion   ------------------------

Varios miembros de SET han descubierto fallos cruciales en la seguridad de
ciudad.com.ar, al parecer debidos a la incorrecta configuracion del programa
EdgeMail utilizado para ofrecer servicios de correo en web.
Ciudad.com.ar es un portal argentino que ofrece cuentas de correo en web,
chat y mensajeria instantanea tipo ICQ, mas de 150.000 cuentas pueden haber
sido comprometidas.




- 02 ----------------------   Problemas encontrados   ---------------

Tras averiguar que ordenador era responsable de ofrecer el servicio y
almacenar los datos nos dimos cuenta de que cualquiera podia:

#1   Leer cualquier mensaje
#2   Secuestrar cuentas
#3   Acceder al fichero de claves
#4   Obtener la configuracion de cuentas POP
#5   Determinar los usuarios activos



[#1]  Leer cualquier mensaje

Yendo a una direccion URL es posible leer cualquier mensaje guardado en el 
servidor sin necesidad de ningun tipo de autenticacion, un ejemplo:


  http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/

Mostrara un listado de directorios con entradas para los caracteres [0-9,a-z],
los mensajes de cada usuario se guardan en el directorio correspondiente a la
primera letra de su nombre de usuario. Imagina que quisieramos ver el correo
de "nadie", iriamos a:

  http://vulnerablesiteen.ciudad.com.ar/edgemail/folders/n/

Leeremos el listado hasta encontrar entradas como:

 ./n/nadie.InBox  4k
 ./n/nadie.Sent   3k

Haciendo click en el enlace nos aparecera el habitual fichero de texto con
formato Unix que contiene todos los mensajes de esa carpeta.


[#2]  Secuestrar cuentas

Mientras que el primer problema 'solo' permite al atacante leer el correo,
encontramos que es posible "arrebatar" a su propietario cualquier cuenta,
crear una nueva cuenta en ciudad.com.ar es un proceso de tres pasos, el 
primero comprueba el nombre de usuario deseado y devuelve un error si ya
existe, el fallo se encuentra en que el script Perl que efectua la creacion
de la cuenta NO CHEQUEA que esta exista, recuerda que esto se comprobaba
en el paso 1, asi que si vamos a una URL como:

  http://vulnerablesiteen.ciudad.com.ar/cgi-bin/creawebmail.pl?user=testuser&
         pass=anypassword&srvid=1
  [En una linea]

Habremos creado una nueva cuenta evitando las comprobaciones (y las pantallas
de informacion personal :-) )

Podemos secuestrar la cuenta de nadie@ciudad.com.ar poniendo su nombre en
el campo user, es importante anotar que todos las carpetas existentes son
_borradas_ al actuar asi.

 

[#3]  Acceder al fichero de claves

Mas de 150.000 contraseñas estaban completamente al descubierto para
cualquier internauta, el problema es mayor considerando que:

- Muchas de estas claves pueden estar siendo usadas en otros servicios de
ciudad.com.ar como el chat o la mensajeria instantanea.
- Prima, el dueño de ciudad.com.ar, es un PSI nacional en Argentina, muchos
usuarios tendran la misma clave para su cuenta de correo web, su conexion,
su cuenta POP, acceso FTP ..etc.

Una vez claro que la instalacion de EdgeMail era explotable es tan simple
como:

  http://vulnerablesiteen.ciudad.com.ar/edgemail/auth/users

Lo que podria haber permitido a potenciales intrusos obtener acceso libre
e ilimitado a cuentas de usuarios confiados, borrar mensajes individuales,
falsificar mensajes..etc.



[#4]  Obtener la configuracion de cuentas POP

Es comodo consultar la cuenta POP desde el navegador y agradable el concentrar
correo de diferentes cuentas en un solo lugar, pero no es agradable cuando 
te expones a ver todas tus cuentas comprometidas de una sola vez. Como muchos
sistemas, EdgeMail te permite consultar cuentas de correo remotas y ofrece
la posibilidad de guardar la configuracion para su uso en futuras sesiones,
esta configuracion incluye: servidor POP, nombre de usuario POP, y clave POP.
EdgeMail guarda esta informacion en un fichero de datos bajo el subdirectorio
/data, vayamos a:


  http://vulnerablesiteen.ciudad.com.ar/edgemail/data/pops

Apostamos sobre seguro diciendo que muchas de estas claves son tambien 
usadas para conexiones a Internet y acceso FTP lo que compromete nuevas
cuentas en diferentes PSIs.



[#5]  Determinar usuarios activos

Alguna vez te has preguntado si nadie@ciudad.com.ar esta en linea ahora?.
Que IP estara usando?. Solo que quiza el no quiera decirtelo..que podemos
hacer?. Creo que te va a encantar la caracteristica de usuarios activos
de EdgeMail :-). Solo teclea lo siguiente:

  http://vulnerablesiteen.ciudad.com.ar/edgemail/active/

Y te mostrara un listado de todos los usuarios actualmente dentro del
sistema junto con su direccion IP. Un _ejemplo_:


     adxxx@200.41.229.xxx:+  15-Jan-99 22:32     0K  
     adrxx@200.43.37.xxx:00+ 15-Jan-99 22:14     0K  
     adrixx_xxxxx@200.16.1+  15-Jan-99 21:45     0K  
     adrixxxxxx@200.42.16.+  15-Jan-99 22:31     0K  
     adrixxxxxxx@24.232.9.+  15-Jan-99 22:11     0K  
     adriaxxxxxxx@168.96.1+  15-Jan-99 22:55     0K  
     ......................  ...............     .. 
     ......................  ...............     .. 





- 03 -----------------   P&R: Preguntas y Respuestas  ---------------


0x01?  Soy un usuario de ciudad.com.ar, que debo hacer?

Cambia tus claves INMEDIATAMENTE, cambia todas las claves que puedan haber
sido reveladas, no olvides comprobar que no estas usando la misma clave para
acceder a otros servicios.
No te preocupes por tu correo, se que suena raro, el admin de ciudad ya
ha sido informado y habra corregido todos los problemas para cuando tu leas
esto.


0x02?  Estoy usando EdgeMail en mi web, estoy en peligro?

Lo siento pero no podemos decirtelo, nuestra opinion es que se trata de
un problema especifico de la configuracion de ciudad.com.ar y no de 
EdgeMail. Prueba las URLs de ejemplo que aparecen arriba, si funcionan
en tu sitio entonces tienes problemas!


0x03?  Estoy usando (elige nombre) como correo en web, es seguro?

No hay sistemas seguros, los bugs surgen y desaparecen, NO deberias usar
estos sistemas para guardar o enviar informacion confidencial como datos
financieros, numeros de VISA, claves..etc. Desafortunadamente mucha gente
no lo sabe o no le importa y un dia pueden encontrarse que han aprendido de
la peor manera.
Repetimos, NO USES sistemas de correo en web (HotMail, YahooMail..etc) para
guardar nada que no quieras que todo el mundo vea.
Tambien deberias comenzar a plantearte el cifrar tus mensajes.





- 04 --------------------   Conclusiones   --------------------------

Tranquilo, si tienes una cuenta en ciudad.com.ar debes saber que ahora
esta posiblemente mas segura que nunca :->. Presta atencion a los consejos
dados arriba, usa criptografia (no guardes las claves en el servidor!!),
intenta mantenerte al dia en cuestiones de seguridad y relajate....
la vida es bella.


Enlaces:

http://www.ciudad.com.ar         -- Web principal de Ciudad
http://www.set-ezine.org         -- SET
http://www.edgemail.com              -- Edgemail
http://packetstorm.securify.com/mag/set   -- Copias del ezine SET 



Permiso otorgado para su copia y distribucion.

SET (c) 1999 .