{"id":526,"date":"2024-12-04T17:35:35","date_gmt":"2024-12-04T17:35:35","guid":{"rendered":"https:\/\/www.gdata.com.mx\/blog\/?p=526"},"modified":"2024-12-04T18:15:39","modified_gmt":"2024-12-04T18:15:39","slug":"__trashed","status":"publish","type":"post","link":"https:\/\/www.gdata.com.mx\/blog\/__trashed\/","title":{"rendered":"Prueba De Penetraci\u00f3n:\u00a0Cinco Vulnerabilidades En El Software de Gesti\u00f3n"},"content":{"rendered":"\n
\n
\"\"<\/figure>\n<\/figure>\n\n\n\n

Una empresa de software con sede en Kiel tuvo que tapar un total de cinco vulnerabilidades de seguridad despu\u00e9s de las pruebas realizadas por G DATA Advanced Analytics, una de ellas cr\u00edtica. El software se utiliza en un total de doce estados federados, incluidas empresas municipales, municipios y administraciones municipales.<\/p>\n\n\n\n

\n\n\n\n

A principios de a\u00f1o, un cliente encarg\u00f3 a nuestros colegas de\u00a0G DATA Advanced Analytics\u00a0<\/a>que realizaran una prueba de penetraci\u00f3n de una aplicaci\u00f3n web que utilizaban llamada \u00abTOPqw Webportal\u00bb del fabricante de software baltic IT, con sede en Kiel.<\/p>\n\n\n\n

Lleno<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Se not\u00f3 que era posible visualizar el contenido completo de las bases de datos de una manera trivial. Para ello, un atacante solo habr\u00eda tenido que cambiar algunos datos en la transmisi\u00f3n. Esto fue posible gracias a la llamada \u00abinyecci\u00f3n SQL\u00bb. All\u00ed, un atacante ingresa efectivamente a los comandos de la base de datos que son ejecutados por el servidor de base de datos detr\u00e1s de \u00e9l sin cuestionar. Con una herramienta de libre acceso, todos los datos, as\u00ed como la estructura de la base de datos, se pueden leer sin m\u00e1s pre\u00e1mbulos. Entre otras cosas, los nombres, las direcciones de correo electr\u00f3nico y tambi\u00e9n las contrase\u00f1as (hash) eran legibles en la base de datos. No se requer\u00eda contrase\u00f1a para acceder a \u00e9l. \u00abPodr\u00eda haber esperado eso en una competencia de CTF para principiantes, pero no aqu\u00ed\u00bb, dice el analista Maximilian Hildebrand. \u00abSe puede decir que fue un error de principiante\u00bb.<\/p>\n\n\n\n

Despu\u00e9s de todo, la vulnerabilidad (CVE-2024-45876)<\/strong> no permit\u00eda la ejecuci\u00f3n de c\u00f3digo en el servidor de la base de datos. Pero el acceso por s\u00ed solo ya era lo suficientemente malo, especialmente en el contexto de que la informaci\u00f3n personal sobre los beneficiarios de las prestaciones sociales se almacenaba en la base de datos. <\/p>\n\n\n\n

Creaci\u00f3n de nuevos usuarios<\/strong><\/p>\n\n\n\n

Una funci\u00f3n que crea nuevos usuarios en la base de datos tambi\u00e9n era vulnerable a trav\u00e9s de una inyecci\u00f3n SQL. (CVE-2024-45875)<\/strong> Originalmente, la funci\u00f3n solo estaba destinada a ser utilizada por un administrador que configura una nueva cuenta de usuario a trav\u00e9s de la aplicaci\u00f3n web. En segundo plano, el programa env\u00eda un comando a la base de datos en la que se crea la cuenta. Sin embargo, dado que un atacante hipot\u00e9tico tiene la capacidad de usar esta vulnerabilidad para acceder directamente a la base de datos e inyectar su propio c\u00f3digo SQL, puede \u00absalir\u00bb de esta funci\u00f3n. Esto, a su vez, le permite el acceso completo a todo el contenido de la base de datos.<\/p>\n\n\n\n

En combinaci\u00f3n con la siguiente vulnerabilidad, esto es posible incluso con la ayuda de cualquier cuenta de usuario y, por lo tanto, ya no requiere permisos administrativos para explotarla.<\/p>\n\n\n\n

Acceso a los componentes de administraci\u00f3n<\/strong><\/p>\n\n\n\n

Los usuarios que no tienen los permisos adecuados pueden acceder a los componentes administrativos de la aplicaci\u00f3n web simplemente ajustando la direcci\u00f3n en el navegador en consecuencia. Por lo tanto, el control de acceso no se implementa correctamente aqu\u00ed (CVE-2024-45877).<\/strong> Esto permite a cada usuario registrado ver otras cuentas de usuario, as\u00ed como eliminar las cuentas existentes o crear otras nuevas. Esto permitir\u00eda, por ejemplo, bloquear a todos los usuarios en caso de ataque. Tambi\u00e9n es posible la manipulaci\u00f3n de datos. El m\u00f3dulo de c\u00e1lculo de la aplicaci\u00f3n tambi\u00e9n se puede utilizar para inyectar archivos maliciosos.<\/p>\n\n\n\n

Inserci\u00f3n de c\u00f3digo Javascript extranjero a trav\u00e9s de XSS<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/a><\/p>\n\n\n\n

Incluso hay dos vulnerabilidades de seguridad aqu\u00ed (CVE-2024-45878 y CVE-2024-45879)<\/strong>. Ambos permit\u00edan a un atacante inyectar su propio c\u00f3digo Javascript en la aplicaci\u00f3n web. Dado que la plataforma no valida los nombres de archivo en un lugar y permite Javascript como protocolo en otro, es posible ejecutar scripts maliciosos en el contexto de la aplicaci\u00f3n web. <\/p>\n\n\n\n

Resultado<\/strong><\/p>\n\n\n\n

Algunas de las vulnerabilidades eran m\u00e1s que triviales de encontrar y explotar. Precisamente porque TOPqw gestiona datos altamente sensibles, los colegas no habr\u00edan esperado encontrar all\u00ed una vulnerabilidad de seguridad de este tipo. Parece incomprensible que esto no se haya notado antes. Afortunadamente, estas vulnerabilidades se descubrieron durante las pruebas de penetraci\u00f3n, y no solo a trav\u00e9s de la explotaci\u00f3n maliciosa por parte de los delincuentes, al menos hasta donde sabemos. \u00abLos fabricantes deber\u00edan considerar realmente poner a prueba sus productos en una prueba de penetraci\u00f3n, especialmente cuando se trata de aplicaciones web que son accesibles externamente para los atacantes. Esto te ahorra muchos problemas a largo plazo\u00bb, aconseja el analista Majid Lakhnati.<\/p>\n\n\n\n

Sin embargo, los dos elogian la reacci\u00f3n y la cooperaci\u00f3n de Baltic IT. Por ejemplo, la vulnerabilidad cr\u00edtica en TOPqw mencionada al principio se cerr\u00f3 despu\u00e9s de solo dos d\u00edas. Las otras vulnerabilidades tambi\u00e9n se han corregido gradualmente.

El proceso de publicaci\u00f3n sigui\u00f3 las reglas de Divulgaci\u00f3n Responsable. A partir del 25 de julio de 2024, las cinco vulnerabilidades reportadas se han cerrado y las actualizaciones correspondientes se han implementado en todos los entornos de producci\u00f3n de los clientes de TOPqw.
Todos los detalles t\u00e9cnicos sobre las vulnerabilidades encontradas, as\u00ed como la l\u00ednea de tiempo completa, se pueden encontrar en la publicaci\u00f3n de blog detallada de G DATA Advanced Analytics en cyber.wtf<\/a>.<\/p>\n\n\n\n

Enlace: https:\/\/www.gdata.de\/blog\/2024\/11\/38077-topqw-schwachstellen-cve-penetrationstest<\/a>  Blog de G DATA Tim Berghoff<\/p>\n","protected":false},"excerpt":{"rendered":"

\"\"<\/p>\n

Una empresa de software con sede en Kiel tuvo que tapar un total de cinco vulnerabilidades de seguridad despu\u00e9s de las pruebas realizadas por G DATA Advanced Analytics, una de ellas cr\u00edtica. El software se utiliza en un total de doce estados federados, incluidas empresas municipales, municipios y administraciones municipales.<\/p>\n

A principios de a\u00f1o, un cliente encarg\u00f3 a nuestros colegas de\u00a0G DATA Advanced Analytics\u00a0<\/a>que realizaran una prueba de penetraci\u00f3n de una aplicaci\u00f3n web que utilizaban llamada \u00abTOPqw Webportal\u00bb del fabricante de software baltic IT,<\/p>\n","protected":false},"author":1,"featured_media":545,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,1],"tags":[],"class_list":["post-526","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-uncategorized"],"jetpack_featured_media_url":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/12\/G_DATA_Blog_TOPqw_Header-1.jpg","featured_image_src":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/12\/G_DATA_Blog_TOPqw_Header-1-150x150.jpg","_links":{"self":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/comments?post=526"}],"version-history":[{"count":6,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/526\/revisions"}],"predecessor-version":[{"id":546,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/526\/revisions\/546"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media\/545"}],"wp:attachment":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media?parent=526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/categories?post=526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/tags?post=526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}