Vulnerabilidad en sitio de Oracle permite redirección abierta
Analizando un malware, he hallado una vulnerabilidad en el sitio corporativo de Oracle que está siendo activamente explotada por los delincuentes para engañar a los usuarios: se trata de una vulnerabilidad de redirección abierta similar a la hallada por mí en Twitter en agosto de 2010 y en Facebook días atrás por Vicente Aguilera.
En el sitio del Dashboard de Partners de Oracle es posible utilizar uno de los parámetros no validados para redirigir al usuario a un sitio cualquiera sin confirmarlo previamente. Estos sitios pueden ser dañinos o casos de phishing y el usuario desprevenido no notará el engaño, e incluso terminará creyendo que está por ingresar al sitio de Oracle. Además, la URL involucra la utilización de HTTPS, lo que hace que la dirección sea aún más confiable.
La URL, parcial para que no sea utilizada por los delincuentes, es la siguiente:
Ante la explotación activa por parte de los delincuentes, es obvio que la misma es conocida desde hace tiempo y, luego de repetidas denuncias y reportes a Oracle y de ser ignorado en todas ellas, he decidido publicar la vulnerabilidad en forma parcial, esperando que quizás su publicación llegue a oídos de alguien a quien realmente le interese la seguridad de los usuarios.
Cristian de la Redacción de Segu-Info
En el sitio del Dashboard de Partners de Oracle es posible utilizar uno de los parámetros no validados para redirigir al usuario a un sitio cualquiera sin confirmarlo previamente. Estos sitios pueden ser dañinos o casos de phishing y el usuario desprevenido no notará el engaño, e incluso terminará creyendo que está por ingresar al sitio de Oracle. Además, la URL involucra la utilización de HTTPS, lo que hace que la dirección sea aún más confiable.
La URL, parcial para que no sea utilizada por los delincuentes, es la siguiente:
https://gcmprm.oracle.com/ctd/lu?PARAMETRO_NO_VALIDADO=http://www.segu-info.com.ar
Ante la explotación activa por parte de los delincuentes, es obvio que la misma es conocida desde hace tiempo y, luego de repetidas denuncias y reportes a Oracle y de ser ignorado en todas ellas, he decidido publicar la vulnerabilidad en forma parcial, esperando que quizás su publicación llegue a oídos de alguien a quien realmente le interese la seguridad de los usuarios.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!