Incursión en la web corporativa de El Corte Inglés

No hay gigantes invencibles cuando de tecnología informática se trata. Son muchos los actores que intervienen en la puesta online de cualquier servicio: developers (desarrolladores), analistas, proveedores de hosting, administradores, sistemas, etc., y cuanto más compleja es la empresa, más posibilidades de errar existen.

En el caso que abordamos ahora, pero que no difiere de otros que hemos "atacado" (Capio, Moncloa, Inditex...), el principio pasa por recopilar toda la información posible del objetivo: servidores, dns, webs, proveedores de desarrollos específicos, y mucha labor de búsqueda y análisis. Podemos estar meses analizándola en nuestras cuevas, discutiendo entre cervezas y convenciéndonos de la "legitimidad" hacktivista del target; esperando la oportunidad de difundir la información que hemos considerado debe ser conocida, o simplemente, hacer escarnio mediante el #LOL y el #LULZ de aquellos a quienes consideremos merecedores de tal según nuestro etílico criterio.

Los chicos de la tecla de ECI (en adelante El Corte Inglés) tienen muchos servicios en la Red y como sabemos que están hasta el gorro del trato que la empresa les dispensa, se habrán dispersado un poco de tan ingente tarea (y con razón).

Hay de todo un poco:






No es nada complicado jugar un poco con los buscadores disponibles.

Habitualmente, todas las grandes corporaciones son pretenciosas y despistadas en cuanto a las necesarias auditorías de sus sistemas. Naturalmente que cuentan con personal técnico cualificado en sus departamentos, pero no todo es abarcable. Un ejemplo es la confianza en terceros proveedores de aplicaciones.

Y este ha sido el caso (que no único) de este gigante empresarial tan famoso por el trato que dispensa a los clientes, pero que poco trasciende cuando abusa, maltrata y se pasa por el forro los derechos de sus trabajadores.

1- La parte que todos sabían: la vulnerabilidad tonta, pero en la que nadie reparó.

Y ahora viene esa parte que llamamos técnica en la que todos los expertos del mundillo de la (in)seguridad informática (la comunidad "hacker blanquita") dicen: ¡Bah!, una simple vulnerabilidad de primero de hacking.

Pero la gracia no está en que exista, amiguitos, sino en encontrarla y explotarla sin hacer de pentester legal que avisa de ella a la empresa a cambio de fama o algún tipo de reconocimiento. Eso, es tan ilegal como lo que hacemos nosotros, así que optamos por darle otro aspecto más social como es el de liberar la información y que cada cual saque las conclusiones que prefiera. Eso ya nos da igual.

Buscamos el alojamiento corporativo de ECI:




¡Vale! Un server dedicado en la casa del amigo Chema Alonso

Qué tenemos alojado en esa IP:



El mapeo del hosting no nos aporta más que unas vuelnerabilidades heurísticas sobre los puertos 80 y 443 ( CVE:CVE-2007-6750 y CVE:CVE-2014-3566  OSVDB:113251) que vamos a obviar ante la certeza de que timofónica no es tan obvia.

Exploramos de forma manual cada uno de los dominios y subdominios hasta llegar a dos concretos que nos sorprenden, y que ahora están redirigidos después de publicar el leak. Son: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La sorpresa viene porque usan una aplicación de terceros. Una empresa aparentemente potente en el ámbito de la imagen, el márketing y la consultoría acceso y que facilita a sus clientes (veremos algunos) un sistema de gestión de contenidos para comunicaciones y notas de prensa.





Aquí tenemos una buena presa a la vista de sus "imperfecciones" en los desarrollos. Ejemplos:

- Mal manejo de las URL's no acotando longitud de caracteres y manejo de errores




- Exposición abierta de sistema de acortamiento de URL's que podría permitir utilizarlo para redireccionar a ubicaciones malintencionadas




Y lo más interesante... un panel de gestión de contenidos único para todos sus clientes




2 - Explorando el proveedor de contenidos de terceros (Acceso) utilizado por ECI (entre otros).

Acceso ha optado por Amazon como proveedor de servicios de alojamiento en la nube para sus webs principales y la catalana Colt Technology Service  para otros desarrollos entre los que encontramos:

CitarNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buena cartera de clientes, ¿eh? (No seáis juguetones ¬¬)

Y, naturalmente, los referidos de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta redireccionados a las webs principales y suponemos que desmontado el gestor de Acceso.

Ya nos han preguntado varios periodistas especializados si nos hemos "divertido" también con esos targets y la verdad es que no hemos sabido responderles. ¡Es mucho delito eso! :-P

Pero centrémonos en lo realizado y no en lo que podría ser...

Un vistazo somero a las dos webs del ECI nos proporciona la posibilidad de explotación de SQLInjection en algunos parámetros:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

prensa.elcorteinglescorporativo.es/view_object.html?cat_id=03&obj=16,c,22

La explotación nos descubre un back-end DBMS: PostgreSQL > 8.1 sobre un Linux Ubuntu 10.04 (Lucid Lynx) y tecnología webserver PHP 5.3.2, Apache 2.2.14

Se liberan 3 BD

[*] information_schema
[*] pg_catalog
[*] public

• public con 125 Tablas es el core de la aplicación, mientras que
• pg_catalog es utilizada por el sistema de listas de correo.
  
  El dump de las tablas de usuarios nos proporciona otra sorpresa: los passwords no están hasheados, se visualizan en plano para mayor alegría y menos curro para descifrarlos.
  
  Suponemos que los sysadmins de Acceso ya estarán al loro de la exposición de la ropa interior de su gestor de contenidos, pero si no, ¡ya estáis corriendo!
  
  Las capturas de pantalla que siguen corresponden a algunos usuarios testados
  
  * Menú del gestor de actividades:
  
  
  
  
  
  
  * Gestión de listas de correo:
  
  
  
  
  
  
  * Gestión de usuarios:
  
  
  
  
  
  
  (los usuarios ya no existen por lo que no ofuscamos ni user ni pass)
  
  El resto ya es conocido por todos. Dumpeo y exposición de lo que consideramos interés público.
  
  Conclusión
  
  Seguimos considerando como objetivos válidos de nuestras acciones cualquier desarrollo, aplicación, o servicios online de ECI o cualquier otro entramado empresarial que se distinga por el maltrato y/o abuso de sus trabajadores, la ocultación, corruptelas, nazi-fachas y/o asociaciones o medios de comunicación vendidos a un sistema donde sólo el poder y la economía priman sobre otros valores. El conocimiento debe ser libre y la información liberada. ¡Esperadnos!
  
  Esperamos no haberos aburrido con nuestras disquisiciones de estudiantes del código. Intentamos hacerlas lo más comprensibles posible, aunque asumimos no poder evitar la utilización de algunos palabros informáticos malsonantes.
  
  No tenemos ni la capacidad ni los medios (y mucho menos los pelos y el gorro de lana del Chema) pero nos esforzamos en hacer muchos cursos online de juakers y llenamos las paredes de certificaciones. No nos perdemos ni una CON y cantamos alabanzas a Nico y a Román :-P pero ni a tiros nos invitan los tios a unas cañas. Los de H&B sí que lo hacen y aunque acudimos a sus reuniones supersecretas con tapas de chipirones, y frecuentamos el barrio moro-judio de Córdoba, el que ha escrito ese libro de "Los hombres que susurran a las máquinas", el Salas de la capucha, no nos ha citado y ha preferido irse con los cursis de París. También será porque nosotros no les susurramos y las tenemos hechas unos zorros.
  
  Ya más en serio, disculparnos con aquellas inocentes a las que hayamos chafado su trabajo estos días. Sabemos que esos daños colaterales hacen pupa, pero, amiguetes, curráis en algo donde también hay que asumir riesgos. Sed un poco como nosotros: sonreid, bebeos una buena birra y llamadnos ...
  
  
  
  FUENTE| la nueve

Muy buena investigación por lo que parece.

Me gustaría saber tanto como vosotros y pasármelo tan bien descubriendo estos fallos que tienen algunas compañías

Por cierto @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , que página utilizas para realizar el WhoIs

Vaya trabajo, muy bueno. Aunque no he entendido ni la mitad, me queda mucho por aprender. Me he partido el culo con lo de Antonio Salas. xD

muchas gracias por contar vuestra historia, conocer un caso practico siempre motiva a seguir aprendiendo y mejorando. mucha suerte y sigue asi ;-P

Grande la ética!! Que viva la lucha de la clase obrera!

Enviado desde mi SM-J320FN mediante Tapatalk