topic Re: Vulnerabilidad in Alfresco Archive

Vulnerabilidad

mrebook — Wed, 19 May 2010 16:16:35 GMT

Hola, este es mi primer Post. El asunto es que realizaron un Test de Vulnerabilidad sobre la URL donde tengo instaldo Alfresco y el resultado fue desastroso, principalmente porque el informe dice que existe una cantidad enorme de posibilidades de "SQL Injection" en los archivos Container.JspInicio c

Re: Vulnerabilidad

cristinamr — Wed, 19 May 2010 16:41:41 GMT

Bienvenido

He leído tu post pero no comprendo muy bien qué quieres o cual es la finalidad de tu post. ¿Podrías concretar un poco más? A ver si así podemos ayudarte 😃

Un saludo!

Re: Vulnerabilidad

mrebook — Wed, 19 May 2010 17:02:31 GMT

Bien… me explico un poco mas…
Tengo instalado Alfresco en un Equipo de la Red y necesito accesarlo desde una ubicacion externa… para esto solicite al Administrador de la Red que me abriera un puerto, sin embargo, antes de que el Administrador procese cualquier solicitud de este tipo… realiza un Test de Vulnerablidad sobre la URL que se desea hacer "visible" al exterior, y precisamente al realizar este Test fue que me informo que la URL donde tengo instalado Alfresco (//miservidor:8080/alfresco) es altamente susceptible de ataques SQL Injection a traves de los archivos Container.jsp, por lo cual, no puede puede procesar mi solicitud de abrir el puerto.

Saludos…

Re: Vulnerabilidad

cristinamr — Wed, 19 May 2010 17:33:48 GMT

Así a bote pronto, ¿por qué no cambias el puerto 8080 a, por ejemplo, 8090? Esto se podría hacer y ya no estarías hablando del puerto 8080 que es el que entiendo que está dando problemas. Quizás deberías hablar directamente con el administrador y preguntarle si es posible que haga este cambio en las instalaciones que tenéis, así te quitas de cualquier problema.

Ten en cuenta que lo que te está ocurriendo es porque cuando instalasteis alfresco lo configurasteis con el puerto ese puerto, así que lo suyo es que si os da problemas, lo cambiéis. Siento no ser de más ayuda, pero en este caso el problema es por la configuración que le distéis al instalarlo, poco más puedo recomendarte que se me ocurra

Un saludo.

Re: Vulnerabilidad

venzia — Wed, 19 May 2010 17:38:36 GMT

Y bueno .. ya puestos, puedes añadir el contenido de dicho informe (o el software con el que lo elaboró)? .. es q no termino de ver por donde puede injectar sql (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL) desde el container.jsp (que básicamente se encarga de formar las partes de las que se compone la webapp de alfresco).
Por otro lado es la primera noticia que tengo al respecto, y mira que alfresco tiene movimiento :mrgreen:.
De cualquier forma estaría bien contrastarlo en detalle (con el objetivo de que si realmente existe el problema se pueda buscar solución).
Saludos,

Re: Vulnerabilidad

mrebook — Wed, 19 May 2010 18:19:33 GMT

Antes que otra cosa… agradezco tu interés y tu ayuda…
De esta forma voy intentando explicarme más…
Instalar Alfresco en cuaquier número de puerto no es problema y que el Administrador de la Red me de acceso desde el exterior al mismo tampoco lo es, inclusive el procedimiento podría ser a la inversa… yo podría preguntarle que puerto(s) tiene él disponibles y yo instalaría Alfresco para que escuchara en ese puerto…
Sin embargo, la esencia del problema es la siguiente: por política, en nuestros servidores, cualquier sitio web que se desea hacer público debe pasar por un Test que nos indica el margen de vulnerabilidad del mismo, esto es, se realiza una prueba para determinar si en un momento dado al hacer público un sitio no se compromete la seguridad de la base de datos (si es que el sitio tiene acceso a alguna) o de la misma red en el peor de los casos. Existen diversas técnicas de "Hacking" como XSS y SQL Injection que aprovechan vulnerabilidades en aplicaciones web, carritos de compra, formularios, páginas de acceso, contenido dinámico, etc. Y cual sería mi sorpresa que cuando el Administrador de la Red aplicó las pruebas necesarias a mi sitio de Alfresco, resultó que es altamente susceptible a ataques del tipo SQL Injection. Y precisamente la vulnerabilidad reside en los archivos Container.jsp (quero decir que a través de los mismos mi sitio podría ser atacado). Por lo tanto mientras en mi sitio exista la posibilidad de un ataque de este tipo el Adminstrador de la Red no me permitirá que lo haga público.

http://www.acunetix.com es un sitio desde donde se puede descargar un software que se utiliza para aplicar estas pruebas y donde se puede encontrar más información al respecto…

Saludos…

Re: Vulnerabilidad

mrebook — Wed, 19 May 2010 21:10:10 GMT

Hola…innovasoft…
Precisamente a mi parecer esa caractística que tiene el container.jsp (que básicamente se encarga de formar las partes de las que se compone la webapp de alfresco) en algunos controles ocultos como: idJsp9 existe la vulnerabilidad del ataque SQL Injection…

Por ejemplo en este fragmento de código:

<input type="hidden" name="dashboard_SUBMIT" value="1" /><input type="hidden" name="id" /><input type="hidden" name="dashboard:_idJsp9" /><input type="hidden" name="dashboard:act" /><input type="hidden" name="dashboard:sidebar-body:navigator" /><input type="hidden" name="outcome" /><input type="hidden" name="dashboard:modelist" /><script type="text/javascript">…

Este fragmento de código pertenece precisamente a la página del Dashboard.

A la brevedad posible añado el informe que tengo sobre el Test al sitio web de mi instalación de alfresco… pero basicamente todo el informe se refiere a 1000 pruebas con diferentes valores sobre este contro y algunos otros…

Saludos…

Re: Vulnerabilidad

cesarista — Wed, 19 May 2010 22:38:46 GMT

Hola:

A la espera de saber que tipo de info proporciona el informe de vulnerabilidades, no termino de ver nada raro en el extracto que escribes (una serie de campos hidden en un formulario). Siento el escepticismo pero, en cualquier caso, el enlace a la herramienta con la que se ha hecho el análisis, permiría testear las vulnerabilidades de un servidor alfresco, así como replicar y contrastar las vulnerabilidades que habeis obtenido.

Un saludo.

–C.

Re: Vulnerabilidad

cristinamr — Thu, 20 May 2010 06:50:14 GMT

cesarista tiene razón, en lo que has expuesto no hay nada que indique evidencia de que se pueda hacer una ataque sql injection, igualmente si puedes, publicanos qué información te da concretamente porque personalmente es la primera vez que escucho que alfresco tenga vulnerabilidad con este tipo de ataque, y si existe sería bueno saber exactamente donde está la vulnerabilidad para reportarlo a Alfresco (a parte que tendríamos algo "tangible" por donde investigar).

Un saludo.

Re: Vulnerabilidad

baskeyfield — Thu, 20 May 2010 08:49:37 GMT

Buenas,

He descargado el programa del enlace y lo he lanzado contra mi Alfresco.

La versión demo solo testea ataques Xss, de todas formas no ha detectado nada.

Podrías concretar más que errores obtienes y publicar el log?

Saludos.

Re: Vulnerabilidad

mrebook — Thu, 20 May 2010 14:37:00 GMT

Ok. pregunta básica… Cómo subo el archivo que contiene el informe?
Saludos…

Re: Vulnerabilidad

mrebook — Thu, 20 May 2010 14:39:37 GMT

Ok. Pregunta básica…. Cómo subo el archivo del informe?

Saludos…

Re: Vulnerabilidad

venzia — Thu, 20 May 2010 14:45:28 GMT

Si es demasiado tocho prueba con rapidshare o megaupload y pegas aqui el link .. pero phpbb se traga post bastante largos :mrgreen:.
Saludos,

Re: Vulnerabilidad

toni_delafuente — Thu, 20 May 2010 17:41:00 GMT

Hola,

Me sumo a la sorpresa de otros colegas del foro. Me gustaría ver el informe y también podríamos contrastarlo con una auditoría hecha con Nessus, la mayoría de estos programas detectan problemas con diferentes niveles de severidad y basados en unos patrones concretos. Bueno, todo es posible pero veremos que problemas reales derivan del informe.

Muchas gracias por aportar la información.

Re: Vulnerabilidad

cesarista — Thu, 20 May 2010 18:34:09 GMT

Hola,

Me sumo a la sorpresa de otros colegas del foro. Me gustaría ver el informe y también podríamos contrastarlo con una auditoría hecha con Nessus, la mayoría de estos programas detectan problemas con diferentes niveles de severidad y basados en unos patrones concretos. Bueno, todo es posible pero veremos que problemas reales derivan del informe.

Muchas gracias por aportar la información.

+1

P.S: Todo es posible, y de hecho por romper una lanza a favor de mrebook no sería la primera vez que un hilo de un foro termina en una incidencia del jira. Además es verdad que este tipo de ataques son frecuentes y pasan en las mejores familias, y para ello solo mencionar el caso reciente de apache. Veremos.

http://httpd.apache.org/info/css-security/

Un saludo.

–C.

Re: Vulnerabilidad

mrebook — Thu, 20 May 2010 20:14:14 GMT

Este es el Link del Informe de vulnerabilidad…
En espera de sus comentarios…

http://rapidshare.com/files/389701622/Informe_Vulnerabilidad.pdf.html

Saludos…

Re: Vulnerabilidad

toni_delafuente — Thu, 20 May 2010 22:04:35 GMT

Hola Mrbook, gracias por compartir el informe con nosotros.

Lo he revisado detenidamente la sección "SQL injection" ya que las demás son meramente informativas y realmente no veo ningún problema de seguridad.

Parece que Alfresco no hace un chequeo de las inserciones en un formulario en el propio script (o al menos no en ese), pero eso no significa que se produzca un SQL injection ya que puede hacer filtros del contenido que se introduce en un formulario a otros niveles. ¿Has comprobado que se cambia algún registro en la base de datos según las SQL injection que se lanzan? o ¿simplemente obtenemos el error 500?

Que responda un "HTTP/1.1 500 Internal Server Error" puede ser más o menos normal, dependería de la configuración del servidor de aplicaciones o servidor web. Sería interesante ver que error obtienes en el log de Alfresco en cada caso.

Desde mi punto de vista, estos scanners remotos son excesivamente desatendidos y generan información basada en plantillas que puede provocar confusiones. Con esto no quiero decir que no exista algún fallo, pero en este caso no llevo a verlo, igual me equivoco, a ver si los demás ven algo.

Saludos.

Re: Vulnerabilidad

cristinamr — Fri, 21 May 2010 06:45:16 GMT

Pues Toni, que quieres que te diga pero viendo el informe me quedo un poco igual porque, aunque se explica que puede haber ataques no hay nada concluyente, bueno solo te especifica la respuesta:

Response
HTTP/1.1 500 Internal Server Error Server: Apache-Coyote/1.1 Content-Type: text/html;charset=UTF-8 Date: Wed, 24 Mar 2010 23:30:07 GMT Connection: close‍‍

Que en cualquier caso si realmente te da como respuesta un error 500 aunque tenga esa vulnerabilidad tampoco te permite hacer más nada porque desconecta la sesión ¿no?

Quizás se debería hacer alguna prueba para ver cómo responde Alfresco y sobre todo ver el log, porque es bastante probable que, si a parte del error 500 hay algo más, te lo muestre.

Una pregunta tonta: ¿A qué pantalla corresponde ese container.jsp? O sea, una vez te logas (login.jsp) ¿va a ese container.jsp? Porque supongo que al pertenecer al dashboard será una vez autentique el usuario ¿no?

Re: Vulnerabilidad

venzia — Fri, 21 May 2010 08:53:24 GMT

Me uno a la sugerencia de comprobar si se produce algun cambio en el sistema tras estas injecciones sql.
Esperemos que mrbook pueda aportar mas info al respecto para aclarar esta duda existencial (sino tocara probar por nuestra cuenta, que ya no me quedo tranquilo :mrgreen: ).
En cuanto a lo que comenta cristina ..

Una pregunta tonta: ¿A qué pantalla corresponde ese container.jsp? O sea, una vez te logas (login.jsp) ¿va a ese container.jsp? Porque supongo que al pertenecer al dashboard será una vez autentique el usuario ¿no?

Si tienes habilitada la entrada de guest, al acceder este a su dashboard carga el container.jsp si no me equivoco (pues guest a fin de cuentas es un user mas).

Saludos,

Re: Vulnerabilidad

cristinamr — Fri, 21 May 2010 09:55:39 GMT

…Si tienes habilitada la entrada de guest, al acceder este a su dashboard carga el container.jsp si no me equivoco (pues guest a fin de cuentas es un user mas)…

Algo así me imaginaba, pero entonces no sé muy bien donde se puede realizar el ataque dentro del container, porque no sé por qué pero pensaba que el ataque se realizaba a través del longin.jsp y una vez pulsar aceptar, pasa por el cointaner que es el que no comprueba y el que permite esa injection. O algo similar