Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Bug de seguridad en el software del proxy cache

Aparte de sufrir el proxy todos los dias tenemos que cargar con los fallos de seguridad que pueda tener, desde vsantivirus.com:"Una vulnerabilidad en el software "Inktomi Traffic-Server", ha sido descubierta recientemente por dos investigadores españoles, Hugo Vazquez Carames y Toni Cortes Martinez, de Infohacking.com (no confundir con la A.I.H.).

La versión 5.5.1 de este software es utilizado por la empresa Telefónica de España, para la implementación de su Proxy Caché, a través del cuál prácticamente todos los usuarios españoles deben conectarse para poder navegar por Internet.

Un caché actúa como memoria temporal intermedia para guardar una copia de las páginas visitadas, de modo que cuando se vuelvan a solicitar (por cualquier usuario, incluso diferente al que la pidió en primer momento) el proveedor de Internet ya no necesita solicitarla al servidor remoto que la aloja originalmente.
La falla se produce cuando se implementa una solicitud especial, la que al ser enviada por el cliente, puede producir un error al ser procesada en el caché. El resultado es una página generada dinámicamente por el proxy. Esta página de error dinámica, es vulnerable a un ataque del tipo XSS (Cross Site Scriptting).

Una falla de este tipo permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado como scripts, o robar las cookies almacenadas.

Dos puntos importantes hacen esta falla muy peligrosa. Primero, es posible robar las cookies de cualquier dominio, y segundo, el cliente que realiza la solicitud, es incapaz de distinguir que dominio generó el código, lo que hace vulnerable a cualquier otro cliente que se conecte. Indirectamente, cualquier servidor cuyos clientes se conecten a través de dicho proxy y use cookies para gestionar sus sesiones es vulnerable.

Esto convierte a este ataque a uno muy similar al conocido como Man-In-The-Middle. Un ataque de este tipo (literalmente el hombre del medio), se basa en interceptar el intercambio de información entre usuarios y servidores legítimos.

"Inktomi Traffic-Server" es usado además de España, en muchos otros países, por lo que la falla afecta a una enorme cantidad de personas.
Las víctimas potenciales podrían ser los clientes de instituciones bancarias que acceden vía Internet y quienes realizan algún tipo de comercio electrónico.

Un motivo mas para seguir luchando por la retirada de dicho proxy, la cual ( entre otras revindicaciones ) estamos realizando desde Infoprotesta.

Recordemos que InfoProtesta es una web no lucrativa que revindica por la mejora de las conexiones en España.
Teneis mas info ( en ingles) en:
www.securityfocus.com/archive/1/321472

Castellano:
Infohacking ( no confundir con A.I.H )
Esta noticia tambien ha sido comentada en el foro de telefonica.net ( gracias bocadepez!)

Fuente: www.vsantivirus.com/vul-inktomi-xss.htm

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    BocaDePez BocaDePez
    0

    No lo entiendo

    Lo que no termino de comprender es cómo alguien podría aprovechar esta página generada para robar las "cookies" de otras personas. Por lo que comenta infohacking, el problema aparece cuando alguien cambia su propia configuración de navegador para usar un proxy (que use el puerto 80) e introduce una URL incorrecta.

    Vamos que no entiendo cómo alguien, sin cambiar la configuración de mi ordenador puede usar este bug para obtener mi cookie de hotmail (por ejemplo). Alguien tiene claro si este bug es simplemente una "curiosidad" o si es un problema real y utilizable?

    Salu2

    • Cerrado

      BocaDePez BocaDePez
      0

      ...pero lo que sí he comprobado es que puedo ver las mías,…

      ...pero lo que sí he comprobado es que puedo ver las mías, con el ejemplo de petición que ponen en la página. Y se supone que es el proxy el que permite la ejecución de ese script, por lo tanto no debe ser muy difícil para alguien que sepa el poder ver las de otras personas.

      Salu2.

    • Cerrado

      BocaDePez BocaDePez
      0

      el funcionamiento no tiene nada que ver, pero…

      el funcionamiento no tiene nada que ver, pero joder............. XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD brutisimo el fallo XDDDDDDDDDDDDDDDDDDDDDDDDD

  • Cerrado

    BocaDePez BocaDePez
    0

    desactivado el proxy???

    hoy he visitado la pagian de internautas y whatismyip.com para ver si aun navego detras un proxy, pero mi sorpresa, es que sale mi ip, alguein sabe si han desactivado el proxy???

    • Cerrado

      Nuestras ganas... A mi me sale.. Your IP is 80.58.37.236 I…

      Nuestras ganas...

      A mi me sale..

      Your IP is 80.58.37.236

      I como q no es mi ip..

      España va bien.

  • Cerrado

    re

    La verdad es que algo así no me sorprende, así que según Tª el proxy-caché es mejor para todos y blablablablabla... ya lo veo ya...

    Como bien dices hay que seguir luchando para la retirada de 'este engendro' que no da nada más que problemas.

1