miércoles, 28 de septiembre de 2011

¿Mirror como descarga oficial?

           
Mientras revoloteaba por las aulas con un mantenimiento de 80 equipos, no podía permitirme perder tiempo entre clic y clic para encontrar algo a mi parecer escalofriante. Llegó el momento de actualizar el conocido navegador de Firefox, ya saben que cualquier software sin actualizar, hoy en día es como dejar una puerta abierta a cualquier graciosillo con ganas de fiesta, así que me dirigí hacia la página oficial.

Cuando llevaba demasiados sistemas actualizados sin ningún descanso, mi paranoia entró en un modo de agresividad, en el que cualquier estímulo que recibían mis neuronas se manifestaba como ataque de parte de cualquier medio externo... sin más rodeos, me resulto raro que la descarga OFICIAL de Mozilla Firefox, viniese de diferentes dominios generados de forma aleatoria, entre todos los mirrors que enlazan la descarga, ya sea una actualización o simplemente la primera instalación.

Para que vean un poco más conciso de que estoy hablando, dejo una captura a continuación de varios clic sobre el botón de descarga.




La cuestión es:

¿Qué tan importantes son estos mirrors para enlazarse como oficiales?

No pude evitar echarle un ojo, para determinar que tipo de organizaciones eran las que obsequiaban a Firefox con un subdominio en el que alojar las actualizaciones. En su gran mayoría universidades.

¿Qué tienen las universidades que no tienen el resto de webs?

Gestores de contenidos como Joomla o Moodle, salas de chat, blogs, lugares de encuentro para intercambio de información...

¡todo lo que un malvado informático como yo desearía para pasar el rato!

Acceder a Firefox para modificar los enlaces de descarga de sus actualizaciones debe de ser complejo, pero a una universidad, no sé, la verdad que me suena algo más atractivo.
Por casualidad accedí a uno de los dominios citados en la primera imagen, en el que me llamó la atención unos simples Warnings.




Pertenecían al dominio de descargas, así que se me ocurrió apretarle fuerte para ver si salía algo más.

¿Por qué el subdominio no iba a estar dentro del servidor comprometido?

Un XSS reflejado junto a un error de MySQL.



Del que se puede inyectar cualquier consulta que se nos ocurra.




Como dije anteriormente, las salas de chats también resultan comprometidas, pues en esta tenemos hasta un XSS persistente.





Dando una vuelta por otro de los dominios... SQLi por todas partes.





Tenemos posibilidades de sobra para acceder a los servidores y conseguir rootearlos.

En el caso de pertenecer al mismo servidor

¿Cuanto nos llevaría dar con las carpetas de descargas?

Saludos 4n4les! ;)

6 comentarios:

  1. jajaja no tenía otra forma de redactar el sobrecogedor acontecimiento... xD

    ResponderEliminar
  2. puff.. pues me parece bastante grave, sobretodo teniendo en cuenta que se trata de uno de los navegadores más utilizados. Excelente investigación!

    ResponderEliminar
  3. Thor

    Tremebundo!!!

    http://www.youtube.com/watch?v=ewrAUyV-z7c

    La verdad es que es una vergüenza como los enlaces de descarga de Firefox oficiales estén en este estado. Se les debería de llamar la atención al menos...

    Lo que me dejas claro entrada tras entrada es que hay agujeros de seguridad (hay agujeros y hay verdaderos cañones del colorado como estos) en los lugares más insospechados... y que tienes un sexto sentido para encontrarlos alucinante... jajaja.

    Saludos crack!!! Otra entrada excelente, para variar...

    ResponderEliminar
  4. Por cierto, más escalofriante aún debe ser el enterarse que los navegadores ya no están a la última, ya que han sacado la versión 7 de Firefox el martes... LOL

    ResponderEliminar
  5. @byhanzo

    Ando entrenando el sentido arácnido, pero no sé que pasa anda medio desactivado.

    La verdad que sí... es una putada de las gordas, mi jefe me mandará de nuevo a darle otro rodeo a los ordenadores, igualmente no hay mal que por bien no venga, lo mismo sale otra entrada jeje

    Saludos!

    ResponderEliminar