[HACK] [Fwd: [Kernel Panic] Grave falla afecta el Proxy Caché de Telefónica]
HijaCKer
rsadorri7 at etis.ub.edu
Mon May 19 12:21:19 CEST 2003
3 - Grave falla afecta el Proxy Caché de Telefónica
_____________________________________________________________
http://www.vsantivirus.com/vul-inktomi-xss.htm
Grave falla afecta el Proxy Caché de Telefónica
Por Redacción VSAntivirus
vsantivirus at videosoft.net.uy <mailto:vsantivirus at videosoft.net.uy>
Una vulnerabilidad en el software "Inktomi Traffic-Server",
ha sido descubierta recientemente por dos investigadores
españoles, Hugo Vazquez Carames y Toni Cortes Martinez, de
Infohacking.com.
La versión 5.5.1 de este software es utilizado por la empresa
Telefónica de España, para la implementación de su Proxy
Caché, a través del cuál prácticamente todos los usuarios
españoles deben conectarse para poder navegar por Internet
(ver Referencias).
Un caché actúa como memoria temporal intermedia para guardar
una copia de las páginas visitadas, de modo que cuando se
vuelvan a solicitar (por cualquier usuario, incluso diferente
al que la pidió en primer momento) el proveedor de Internet
ya no necesita solicitarla al servidor remoto que la aloja
originalmente.
La falla se produce cuando se implementa una solicitud
especial, la que al ser enviada por el cliente, puede
producir un error al ser procesada en el caché. El resultado
es una página generada dinámicamente por el proxy. Esta
página de error dinámica, es vulnerable a un ataque del tipo
XSS (Cross Site Scriptting).
Una falla de este tipo permite a un atacante introducir en el
campo de un formulario o código embebido en una página, un
script (perl, php, javascript, asp) que tanto al almacenarse
como al mostrarse en el navegador, puede provocar la
ejecución de un código no deseado como scripts, o robar las
cookies almacenadas.
Dos puntos importantes hacen esta falla muy peligrosa.
Primero, es posible robar las cookies de cualquier dominio, y
segundo, el cliente que realiza la solicitud, es incapaz de
distinguir que dominio generó el código, lo que hace
vulnerable a cualquier otro cliente que se conecte.
Indirectamente, cualquier servidor cuyos clientes se conecten
a través de dicho proxy y use cookies para gestionar sus
sesiones es vulnerable.
Esto convierte a este ataque a uno muy similar al conocido
como Man-In-The-Middle. Un ataque de este tipo (literalmente
el hombre del medio), se basa en interceptar el intercambio
de información entre usuarios y servidores legítimos.
"Inktomi Traffic-Server" es usado además de España, en muchos
otros países, por lo que la falla afecta a una enorme
cantidad de personas.
Las víctimas potenciales podrían ser los clientes de
instituciones bancarias que acceden vía Internet y quienes
realizan algún tipo de comercio electrónico.
La solución debe ser implementada por los proveedores que
utilicen el software vulnerable, pero aún no existe una
actualización del mismo.
* Referencias:
INKTOMI Traffic-Server XSS
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Traffic-Server/
¿Cómo funciona el proxy-caché de Telefónica?
http://www.vsantivirus.com/proxy-cache2.htm
El lío del proxy-caché
http://www.vsantivirus.com/lio-proxy-cache.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
--
HijaCKer (Ramon)
Enginyeria Tècnica en Informàtica de Sistemes (UB)
More information about the hacking
mailing list