Articoli

MyWind & SQL Injection – A rischio le credenziali degli utenti!

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

Vulnerabilità SQL Injection su bersani2013.it e ansa.it

SQL-Injection-Attack

Durante il Week End sono giunte alla nostra redazione due differenti segnalazioni di SQL Injection ai danni di due importanti siti internet nostrani, come di consueto pubblichiamo quanti più dettagli ci vengono forniti per documentare ai nostri lettori le vulnerabilità individuate e allo stesso tempo avviseremo i diretti interessati mediante il nostro canale Twitter.

La prima segnalazione pervenutaci da Gr33nRage mette in risalto una vulnerabilità SQL Injection sul sito di Pier Luigi Bersani dedicato alle elezioni 2013 (www.bersani2013.it), il Team ha reso disponibile un estratto dei dati raccolti contenente le donazioni ricevute, gli username e le tabelle dell’intero DB direttamente sul sito Pastebin.

L’utente S1ckb0y infine ci avvisa di un’altra vulnerabilità SQL Injection in un subdomain dell’ansa.it, tale vulnerabilità permette di accedere a diverse tabelle contenenti informazioni riservate.

Come sempre auspichiamo ad una maggior verifica dei siti internet da parte dei soggetti preposti o degli stessi sviluppatori.

Rilasciata una nuova versione di SQLSentinel

SQLSentinel

SQLSentinel ha recentemente raggiunto la seconda versione beta, un software completamente sviluppato in Java in grado di individuare velocemente delle possibili falle di SQL Injection all’interno di un sito internet senza poi proseguire alla fase di exploiting.

La versione 0.1 rilasciata i primi giorni di Aprile integra le seguenti funzionalità:

  • Crawler web integrato che permette l’indicizzazione ricorsiva automatica del sito target
  • Un sql error finder che testa ogni parametro get della pagina passata dal crawler e cerca di trovare errori di validazione che generino errori sql
  • Modulo per il salvataggio di report pdf dei risultati trovati

Nella seconda beta (versione 0.2) rilasciata a Dicembre 2012 vengono inoltre aggiunte le seguenti funzioni:

  • Supporto a nuove tecniche di MySQL Injection: error-based, boolean-based blind and UNION query;
  • Per ogni connessione viene automaticamente e randomizzato un user-agent;
  • Supporto al HTTP Proxy;
  • Risolto un bug della GUI che mandava in stallo il software all’avvio di un nuovo processo.

Nell’ultima beta 0.3, appena rilasciata, vengono implementate le seguenti funzionalità:

  • Supporto per gli attacchi sql injection sui database MySql(union, blind e error based sql injection), PostegreSQLl(union, blind e error based sql injection), Microsoft SQL Serverl(union, blind e error based sql injection) e Oraclel(union, blind,error based e XML Error Based sql injection);
  • Supporto cookie per poter effettuare il test di siti che richiedono il login obbligatorio;
  • Fix di un bug bloccante del crawler, che adesso è harder, better, faster, stronger.

Potete scaricare l’ultima versione beta attraverso SourceForge.

Rilevate altre vulnerabilità in siti istituzionali nostrani!

I nostri lettori continuano a segnalarci vulnerabilità di siti istituzionali Italiani, con un po’ di rammarrico ve li riportiamo sperando che questi errori non vengono più compiuti dai nostri webmaster e che vi sia un maggior controllo da parte degli enti preposti.

La prima vulnerabilità, segnalataci da Ciro Rutigliano, affligge il sito dell’Ufficio Italiano Brevetti e Marchi nel quale una importante SQL Injection permette di ottenere username e password degli utenti come ben visibile nell’immagina di apertura.

La seconda vulnerabilità, segnalataci da s1ckb0y, colpisce l’istituto di credito BNL nello specifico il portale dedicato al Fondo Pensionistico. Nonostante il recende accordo con la CA Technologies per migliorare la sicurezza della Banca, il nostro utente ha individuato una vulnerabilità di tipo SQL Injection con la quale possiamo recuperare informazioni private.

Infine il portale dell’Aereuonatica Italiana dedicato alla stampa è soggetto ad un Cross-site scripting come è possibile visualizzare dall’immagine dopo il salto, anche quest’ultima segnalazione ci è stata segnalata da s1ckb0y.

Infine voglio riportare un caloroso ringraziamento ai nostri lettori che da sempre ci segnalano novità dell’IT Security e vulnerabilità! Grazie!

Continua a leggere

Gravi problemi di sicurezza per alcuni siti Istituzionali nostrani!

Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.

Camera di Commercio di Lucca

Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:

adminLucenseSCPA     dd80d38ccd1eaxxxxxxxx     Lucense     SCpA    [email protected]
f.sargenti     ccfa5377765c603xxxxxxxx      Francesca     Sargenti
c.bechelli     79a9b25c3e6179dxxxxxxxx     Chiara     Bechelli
[…]
Bruni     96df57e641f83b8a2e9xxxxxxxx      Alessandra     Clu0088
clu0088     33017c172dfc2e9fd4cxxxxxxxx      Alessandra     Bruni
clu0112     87037a4ff4341ebb58xxxxxxxx      Manuela     Salani
[…]
s.marchetti     6cd7180abb78c1d5cxxxxxxxx      Serena     Marchetti
l.barsanti     229ac71d7e94f8e22xxxxxxxx      Lara     Barsanti
elu0332     5482305e36423d7fxxxxxxxx      Salvatore     Pamela

Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.

CGIL del Trentino

Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.

Gazzetta Ufficiale

Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.

BigBang Uniroma 1

Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.

Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.

SQLSentinel – Un Crawler per le SQL Injection

SQLSentinel, è un software nato dal programmatore Luca Magistrelli, completamente sviluppato in Java è ad oggi ancora alla prima versione beta.

Luca ha l’ambizioso progetto di creare una GUI in grado di individuare velocemente delle possibili falle di SQL Injection all’interno di un sito internet senza poi proseguire alla fase di exploiting.

La versione 0.1 rilasciata i primi giorni di Aprile integra le seguenti funzionalità:

  • Crawler web integrato che permette l’indicizzazione ricorsiva automatica del sito target
  • Un sql error finder che testa ogni parametro get della pagina passata dal crawler e cerca di trovare errori di validazione che generino errori sql
  • Modulo per il salvataggio di report pdf dei risultati trovati

Luca cerca qualche volontario che gli dia una mano nello sviluppo, è sufficiente la conoscenza del linguaggio di programmazione Java e delle tecniche di base di sql injection.

Potete scaricare la prima versione beta attraverso SourceForge.

SQL Injection in un sottodominio della NASA

Lo scorso 5 Marzo 2012 in un articolo pubblicato dalla LaStampa.it apprendiamo che l’ispettore generale Paul Martin della NASA ha dichiarato che i server della famosa agenzia governativa USA fra il 2010 e il 2011 sono stati visitati da numerosi e misteriosi hacker che hanno provato, con successo variabile, a scavalcarne le difese informatiche. In totale si sono registrati 5408 attacchi dei quali 46 risultano notevolmente sofisticati e probabilmente ad opera di gruppi di Cracker.

Il nostro lettore Ciro Rutigliano nei giorni scorsi ci ha segnalato di aver rilevato all’interno di un sotto dominio del sito nava.gov una falla di tipo SQL Injection, qualsiasi malintenzionato può recuperare i seguenti dati sensibili:

  • eMail;
  • Username;
  • Password in chiaro;
  • Indirizzi IP.

Come è possibile constatare dalla seguente immagine:

Inoltre l’antivirus Nod32 segnala la presenza del virus MS06-006, ovvero un Remote Code Execution, all’interno di una tabella del sito internet:

Per ovvi motivi non pubblichiamo direttamente il sottodominio della NASA, ci auspichiamo che i tecnici provvedano quanto prima a correggere questa falla e che nel futuro vi sia una maggior prevenzione a spiacevoli episodi di SQL Injection.

The Mole – Tool Automatico per Exploit SQL Injection

The Mole è un ulteriore software dedicato al Pen Testing in grado di individuare falle di tipo SQL Injection, il progetto vede la luce lo scorso Ottobre 2011 e l’attuale versione versione stabile v0.2.6 vanta svariate funzioni da poter far invia ai tools rivali.

The Mole ha la peculiarità di essere multi piattaforma e di supportare non solo i tradizionali server  MySQL ma anche SQL Server, Postgres e Oracle. La sua interfaccia è esclusivamente su riga di comando e prevede un auto completamento dei comandi, gli argomenti dei comandi e i nomi di database, tabelle e colonne per facilitare l’utente.

È possibile effettuare il download di The Mole sul sito ufficiale: http://themole.nasel.com.ar/ inoltre di seguito vi riportiamo un video dimostrativo.

Continua a leggere

Bucato il sito del Ministero per la Pubblica Amministrazione e l’Innovazione

Lo scorso 17 Dicembre 2011 il Cracker Thorwed ha diffuso tramite Twitter la notizia che è riuscito ad accedere al Database del sito qualitapa.gov.it  del Ministero per la Pubblica Amministrazione e l’Innovazione tramite una falla di tipo SQL Injection. Lo stesso utente ha poi diffuso su Pastebin le informazioni estratte dal database dal quale si possono visualizzare username, password e eMail di circa 9000 utenti registrati al sito.

In data odierna gli amministratori del sito internet ci fanno sapere che hanno comunicato a tutti gli utenti coinvolti nel misfatto tramite eMail l’accaduto invitandoli a cambiare in tempi brevissimi le password associate all’username. Di seguito vi riportiamo l’email integrale:

Salve,
sta ricevendo questa email perche’ le password associate alla sua utenza del sito http://qualitapa.gov.it sono state compromesse e pubblicate su internet, con annessa visibilita’ mediatica pubblica dell’evento.

– Sintesi dell’accaduto (lingua italiana)
http://www.matteocavallini.com/2011/12/bucato-un-sito-del-ministero.html

– Pubblicazione di 9000 password del ministero (inglese):
http://www.cyberwarnews.info/2011/12/18/9000-accounts-leaked-from-italian-minister-for-public-administration-and-innovation/

– Elenco delle password pubblicate
http://pastebin.com/raw.php?i=wVSq1Ujb

Questo messaggio vuole avvisarvi di CAMBIARE LE PASSWORD dei vostri acccount USERNAME e EMAIL.

Spesso si utilizza la stessa password fra piu’ sistemi informativi, per cui se la password da lei usata su qualitapa.gov.it consente l’accesso ad altri sistemi informativi (come l’email o il gestionale aziendale), dovete subito CAMBIARE LE VOSTRE PASSWORD.

Suggeriamo vivamente di CAMBIARE LA PASSWORD relativa alla vostra utenza su:
– Sito web http://qualitapa.gov.it (quando fosse nuovamente disponibile)
– Sistema di Accesso Email della propria agenzia pubblica o personale
– Sistemi informativi accessibili da internet con la vostra utenza

Questo messaggio e’ stato inviato in modo indipendente da qualunque coordinamento o collegamento con autorita’ o enti di vigilanza, esclusivamente come iniziativa civica d’urgenza, considerati i rischi potenziali legati a questa perdita di dati e ad altre che potrebbero accadere senza un celere cambio di password.

Vi ricordiamo di attenervi esclusivamente alle comunicazioni ufficiali degli uffici preposti, questo messaggio inviato d’urgenza e’ solo di carattere informativo al fine di consentire una piu’ celere risposta all’incidente informatico, invitando a un cambiamento di password delle proprie utenze accessibili da internet.

Lunedi’ mattina cambiata la vostra password e contattate il vostro referente per la Sicurezza informatica o per i sistemi informativi.

Cordiali Saluti

Fonte | Matteo Cavallini