Vulnerabilidad (antigua) en webmail de Ciudad.com.ar
Hace unos días publicamos Bichología – Pincha en la foto y Troyano Brasileño con foto de regalo haciendo referencia a un troyano del tipo bancario que se propaga por correo electrónico.
En ambos casos se utilizaba una dirección de webmail de Ciudad.com.ar cuyo propietario es el Grupo Prima (el mismo del diario Clarin). Lamentablemente su Política de Confidencialidad y su Política de Uso Aceptable dan error 404 (página no encontrada) por lo que no es posible obtener información sobre este webmail.
Cuando un usuario cualquiera recibía el correo con una supuesta foto, se lo invitaba a descargar dicha foto desde un servidor de Ciudad con un enlace semejante al siguiente:
http://webmail.ciudad.com.ar/vdRfc2att/rfc2attach20.dll?f=CODIGO_UNICO&fb=XXXX&lb=XXXX
Como se explica en los post mencionados, si el usuario hace clic sobre dicho enlace, descarga un malware.
Pero, más allá de esto, lo que se puede observar a simple vista es un enlace a un sitio de ciudad en donde se ejecuta el script que permite la descarga del archivo mencionado (rfc2attach20.dll).
¿Qué sucede si cualquier persona (no usuario de Ciudad) envía ese enlace a cualquier otra (no usuario de Ciudad) y le dice que lo abra?
Lamentablemtente Ciudad no controla la autenticación previa de ningún usuario de su webmail por lo que cualquiera puede descargar ese archivo sin validación de usuario y contraseña.
Esto significa que cualquier persona tiene acceso a todos los archivos adjuntos que cualquier usuario de Ciudad haya enviado y que además los servidores de Ciudad se pueden utilizar para almacenar cualquier tipo de archivo dañino: sólo basta con crearse una cuenta y "adjuntar" un archivo a un correo. A partir de ese momento se podrá enviar el enlace a cualquier persona.
Esta vulnerabilidad ha sido denunciada varias veces a Ciudad por varios canales, sin obtener respuesta e incluso figura en WOT como servidor peligroso, donde también se hace referencia a esta vulnerabilidad.
Errores de este tipo son una vergüenza (negligencia se llama) para empresas de este tamaño pero es comprensible porque seguramente Clarin estará ocupado modificando su sitio nuevamente, agregando más publicidad en algunos píxeles libres que habrán encontrado por ahí.
Cristian de la Redacción de Segu-Info
En ambos casos se utilizaba una dirección de webmail de Ciudad.com.ar cuyo propietario es el Grupo Prima (el mismo del diario Clarin). Lamentablemente su Política de Confidencialidad y su Política de Uso Aceptable dan error 404 (página no encontrada) por lo que no es posible obtener información sobre este webmail.
Cuando un usuario cualquiera recibía el correo con una supuesta foto, se lo invitaba a descargar dicha foto desde un servidor de Ciudad con un enlace semejante al siguiente:
http://webmail.ciudad.com.ar/vdRfc2att/rfc2attach20.dll?f=CODIGO_UNICO&fb=XXXX&lb=XXXX
Como se explica en los post mencionados, si el usuario hace clic sobre dicho enlace, descarga un malware.
Pero, más allá de esto, lo que se puede observar a simple vista es un enlace a un sitio de ciudad en donde se ejecuta el script que permite la descarga del archivo mencionado (rfc2attach20.dll).
¿Qué sucede si cualquier persona (no usuario de Ciudad) envía ese enlace a cualquier otra (no usuario de Ciudad) y le dice que lo abra?
Lamentablemtente Ciudad no controla la autenticación previa de ningún usuario de su webmail por lo que cualquiera puede descargar ese archivo sin validación de usuario y contraseña.
Esto significa que cualquier persona tiene acceso a todos los archivos adjuntos que cualquier usuario de Ciudad haya enviado y que además los servidores de Ciudad se pueden utilizar para almacenar cualquier tipo de archivo dañino: sólo basta con crearse una cuenta y "adjuntar" un archivo a un correo. A partir de ese momento se podrá enviar el enlace a cualquier persona.
Esta vulnerabilidad ha sido denunciada varias veces a Ciudad por varios canales, sin obtener respuesta e incluso figura en WOT como servidor peligroso, donde también se hace referencia a esta vulnerabilidad.
Errores de este tipo son una vergüenza (negligencia se llama) para empresas de este tamaño pero es comprensible porque seguramente Clarin estará ocupado modificando su sitio nuevamente, agregando más publicidad en algunos píxeles libres que habrán encontrado por ahí.
Cristian de la Redacción de Segu-Info
Agea S.A (Clarin) no tiene nada que ver con Ciudad, si bien son del mismo grupo, no es la misma gente de IT.
ResponderBorrar