Yahoo! Local hackeado - Vulnerable a inyección SQL
Un hacker greyhat (*) ha descubierto una vulnerabilidad crítica de inyección SQL en el sitio de discusión Yahoo! Local Neighbors. La falla puede ser usada para leer información administrativa y cuentas de usuarios o cargar una shell en el servidor.
Neighbors es una característica de Yahoo! Local lanzada a finales de 2007 con el propósito de proveer un lugar donde la gente intercambien información sobre eventos que suceden en sus comunidades locales y otra información útil. Yahoo! describe el sitio como "un tablero de discusión para cualquier tema - desde la seguridad del vecindario hasta recomendaciones del contratista."
El hacker que descubrió la vulnerabilidad es conocido en linea con el apodo de "Unu" y descubrió anteriormente vulnerabilidades similares en otros sitios web de alto perfil. Señala que a pesar de encontrar vulnerabilidades de inyección SQL y XSS anteriormente en sitios de Yahoo!, esta es la primera en que encontró un servidor MySQL 5 usado por la compañía.
Las capturas de pantalla provistas por el hacker revelan las bases de datos disponibles en el servidor, así como también los usuarios con acceso a ellas. Aunque las conexiones con la cuenta "root" se pueden establecer sólo desde las direcciones IP locales propiedad de Yahoo!, Unu señala que una cuenta denominada "reply_mon" puede ser usada para acceder a las bases de datos desde cualquier equipo.
Consultando la tabla de la base de datos donde se almacenan los datos de los administradores del sitio web se revelan sus nombres de usuario, dirección de correo electrónico y sus nombres públicos. Además, la tabla UserLocations contiene información sobre los usuarios registrados, incluyendo su identificación Yahoo!, dirección, ciudad, estado, código postal, país y dirección de correo electrónico.
Sin embargo, uno de los hallazgos más peligrosos es que el servidor permite load_file, lo cual significa que un directorio con posibilidad de escritura puede ser usado para ejecutar código malicioso con el propósito de conseguir el acceso a la linea de comandos. EL hacker señala que, a partir de ese punto, "podemos hacer virtualmente cualquier cosa que querramos con el sitio web: shells para hacer uploads, redirecciones, infectar páginas con descargadores de troyanos, incluso desfigurar el sitio web por completo."
En un correo enviado a Softpedia, Unu escribe que es un adepto a las prácticas de divulgación responsables y confirmó que Yahoo! ha sido notificado por adelantado de esta vulnerabilidad. "Hasta donde sé ha sido tratado," dijo.
Imágenes:
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-3.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-4.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-5.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-8.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-7.jpg/
Nota de Segu-info: (*) GreyHat hacker es aquel que se mueve entre los límites entre el WhiteHat y el BlackHat. No siempre respeta la ley o principios morales, a veces no respeta lo primero, otras los segundo; pero no realiza actividades para ganancia personal. Usan sus habilidades para probarse que podrían realizar una determinada hazaña, pero nunca lo hacen para conseguir dinero.
Traducción: Raúl Batista - Segu-info
Autor: Lucian Constantin
Fuente: Softpedia
Neighbors es una característica de Yahoo! Local lanzada a finales de 2007 con el propósito de proveer un lugar donde la gente intercambien información sobre eventos que suceden en sus comunidades locales y otra información útil. Yahoo! describe el sitio como "un tablero de discusión para cualquier tema - desde la seguridad del vecindario hasta recomendaciones del contratista."
El hacker que descubrió la vulnerabilidad es conocido en linea con el apodo de "Unu" y descubrió anteriormente vulnerabilidades similares en otros sitios web de alto perfil. Señala que a pesar de encontrar vulnerabilidades de inyección SQL y XSS anteriormente en sitios de Yahoo!, esta es la primera en que encontró un servidor MySQL 5 usado por la compañía.
Las capturas de pantalla provistas por el hacker revelan las bases de datos disponibles en el servidor, así como también los usuarios con acceso a ellas. Aunque las conexiones con la cuenta "root" se pueden establecer sólo desde las direcciones IP locales propiedad de Yahoo!, Unu señala que una cuenta denominada "reply_mon" puede ser usada para acceder a las bases de datos desde cualquier equipo.
Consultando la tabla de la base de datos donde se almacenan los datos de los administradores del sitio web se revelan sus nombres de usuario, dirección de correo electrónico y sus nombres públicos. Además, la tabla UserLocations contiene información sobre los usuarios registrados, incluyendo su identificación Yahoo!, dirección, ciudad, estado, código postal, país y dirección de correo electrónico.
Sin embargo, uno de los hallazgos más peligrosos es que el servidor permite load_file, lo cual significa que un directorio con posibilidad de escritura puede ser usado para ejecutar código malicioso con el propósito de conseguir el acceso a la linea de comandos. EL hacker señala que, a partir de ese punto, "podemos hacer virtualmente cualquier cosa que querramos con el sitio web: shells para hacer uploads, redirecciones, infectar páginas con descargadores de troyanos, incluso desfigurar el sitio web por completo."
En un correo enviado a Softpedia, Unu escribe que es un adepto a las prácticas de divulgación responsables y confirmó que Yahoo! ha sido notificado por adelantado de esta vulnerabilidad. "Hasta donde sé ha sido tratado," dijo.
Imágenes:
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-3.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-4.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-5.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-8.jpg/
http://news.softpedia.com/newsImage/Yahoo-Local-Hacked-7.jpg/
Nota de Segu-info: (*) GreyHat hacker es aquel que se mueve entre los límites entre el WhiteHat y el BlackHat. No siempre respeta la ley o principios morales, a veces no respeta lo primero, otras los segundo; pero no realiza actividades para ganancia personal. Usan sus habilidades para probarse que podrían realizar una determinada hazaña, pero nunca lo hacen para conseguir dinero.
Traducción: Raúl Batista - Segu-info
Autor: Lucian Constantin
Fuente: Softpedia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!