Rischio Sicurezza Per Mediaset

3 novembre 2005 di Salvatore Aranzulla, in Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. 13 Commenti

Cose da hacker
Nessun sito è sicuro, come più volte ho dimostrato, scoprendo falle di sicurezza in siti come Google, Yahoo! e Microsoft. Penso che questo concetto oramai sia chiaro a tutti.

Per pura casualità, ho individuato svariate falle sul server che ospita i siti dei programmi di Maurizio Costanzo.

Dobbiamo partire dal presupposto che sia stato utilizzato un unico server per ospitare i siti delle trasmissioni di Maurizio Costanzo e che la scoperta di una falla in uno di questi mette a rischio l’intero server. Nel citato server, sono, quindi, ospitati anche il sito di Buona Domenica (www.ilmuro.it) e Tutte le mattine (www.tuttelemattine.it), dove ho indivuato delle pericolose falle.

La sezione Graffiti
La sezione Graffiti

Il sito di Buona Domenica presenta la sezione “Graffiti” che permette di creare delle immagini che verranno memorizzate sul sito stesso. Entrando nei particolari, l’applicazione è stata creata con Shockwave e il caricamento delle immagini sul server avviene mediante una connessione FTP, qui sta la pericolosità, al server stesso. Con un qualsiasi sniffer (=programma che permette di vedere i dati che escono ed entrano da un PC collegato in rete) possono essere intercettati l’username e la password per connettersi all’FTP.

I dati di connessione al server FTP
I dati di connessione al server FTP

Certo, qualcuno potrebbe dirmi che si tratta di un account limitato e che permette il caricamento di sole immagini con estensioni Jpg (aggiornamenti e prove anche se alcune volte non si è dimostrato così, tanto che sono presenti sul server file di diversa estensione). Da alcune prove ho visto come venga fatto un controllo relativamente all’estensione, ma non al contenuto. In tal modo la cartella dei graffiti (che è accessibile dall’esterno?!) potrebbe essere utilizzata come veicolo per ospitare e diffondere materiale illegale e strumenti “da lavoro” per attaccare nuovi siti.

Le immagini create dagli utenti
Le immagini create dagli utenti sul server FTP

Un graffito accessibile dall'esterno
Un’immagine accessibile dall’esterno

Il sito di Tutte le Mattine mostrava, invece, i file presenti in una cartella nella quale mancava l’index. La scoperta di una cartella con “il cuore del sito” è un vero attacco alla sicurezza del sito stesso.

Le cartelle del sito di Tutte le mattine
Le cartelle del sito di Tutte le mattine

Nella cartella-cuore del sito erano presenti vecchie versioni di file, che mi hanno permesso di capire la struttura dell’attuale del sito, oltre ad un intrigante “connessione.inc”, che contiene i dati di connessione, quindi anche username e password, del database dove sono ospitati le informazioni e dati sensibili. Seppur il database non era accessibile all’esterno, i dati raccolti potevano essere utilizzati per un ipotetico successivo attacco utilizzando tecniche di social engineering.

I dati della connessione al database
I dati della connessione al database

Ciò che deve destare grande attenzione era la pagina che permette di caricare delle foto. Il controllo del file (ovvero che si trattasse di una immagine o meno) veniva solamente eseguito dal lato utente, con Javascript. Quindi con la disattivazione del Javascript, sarebbe stato possibile caricare file di ogni tipo, fra cui anche script che avrebbero permesso di prendere il controllo dell’intero server. [versione dedotta con test]

Il controllo sul lato utente
Il controllo sul lato utente

[versione Mediaset] L’azienda che ha realizzato il sito afferma tuttavia che i file vengono salvati in un database Mysql, ma da alcune precedenti prove, e da errori ottenuti mi si mostrava un errore nella funzione fread usata per la lettura di file presenti sul server

La segnalazione della falla è avvenuta il primo Novembre ed stata seguita da una risposta immediata da parte del team di sviluppo dei siti, che ha promesso la correzione delle falle. Le falle sono state turate nella serata del primo Novembre: grande tempismo! ;-)


Questo articolo è stato scritto e pubblicato giovedì 3 novembre 2005 da Salvatore Aranzulla. L'articolo è stato inserito in Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Non puoi né inviare commenti, né inviare trackback.

Commenti dei lettori

  1. beppe 4 aprile 2009 alle 11:39

    salve, scusate ma quello che mi chiedo io è qual è la procedura da seguire per individuare queste falle anche dall’esterno? come si individuano queste falle disicurezza
    e poi quel programma di sniffer ce l’ho anche io ma non sono mai riuscito a capire come si determina un indirizzo ip preciso visto che ne vengono elencati moltissimi, come si fa ad individuare quello che serve a te?

  2. Rischio sicurezza per Mediaset 2? « Panzera Security Blog 8 marzo 2007 alle 23:07

    Rischio sicurezza per Mediaset 2? Salvatore Aranzulla aveva pubblicato dei bug sui server Mediaset:

  3. sUroJAPAN 3 dicembre 2006 alle 22:17

    mmmm ben fatto ma purtroppo ci sono ancora alcune falle che non voglio rendere pubbliche per motivi di sicurezza

  4. Salvatore Aranzulla 4 novembre 2005 alle 22:25

    ye, come ti spiegavo al tel, ho una rete locale. L’ip del portatile viene determinato automaticamente.

  5. Ciao 4 novembre 2005 alle 21:57

    Che fine avevi fatto tu ieri?! Sito ownato?!

  6. antonio 4 novembre 2005 alle 21:52

    “Nessun sito è sicuro, come più volte ho dimostrato, scoprendo falle di sicurezza in siti come Google, Yahoo! e Microsoft.”

    Nemmeno il tuo e’ sicuro a quanto pare!!
    che e’ successo oggi?
    forse hanno bucato pure te?

    o web6 e’ forse amico tuo?

  7. Valentino 4 novembre 2005 alle 21:39

    Ciao Salvo complimenti x la scoperta! ;)

    Ho segnalato la falla anche sul mio bloghttp://www.valentinomarangi.com/?p=52

  8. Valentino Marangi blog » Blog Archive » Scoperta falla dei siti Mediaset 4 novembre 2005 alle 21:38

    Salvatore Aranzulla ci mette al corrente di una falla da lui scoperta nei siti dei programmi televisivi di Maurizio Costanzo. Sia il sito di “Buona Domenica” che il sito di “Tutte le mattine” sono ospitati su un unico server, quindi una falla presente in uno comporterebbe rischi per entrambi. Dalla sezione graffiti del sito di Buona domenica è possibile inviare delle immagini che vengono poi pubblicate sul sito. Salvatore, con un programma sniffer è riuscito ad ottenere username e password dell’account ftp del sito. Qualsiasi utente malintenzionato potrebbe usare questo baco per ospitare del materiale illegale sulla cartella dei graffiti. La falla è stata prontamente segnalata al team di supporto dei siti, che ha prontemente provveduto a corregerla.

  9. ye 4 novembre 2005 alle 21:33

    mi dispiace salvo ma si vede chiaramente che non l’hai scoperto tu.
    nella finestra del programma sniffer si vede un from ip 192.168.0.24, cosa assolutamente impossibile visto che non hai una LAN

  10. Mimmo 4 novembre 2005 alle 21:29

    Salvatore il tuo sito è stato hackerato stamattina
    ci puoi dire che è successo ?

  11. lol 4 novembre 2005 alle 21:21

    Ed intanto ti hanno defacciato il sito…

  12. Digital 00 4 novembre 2005 alle 20:40

    Compliments… :D

  13. Black 4 novembre 2005 alle 20:30

    Ciao salvo, interessante questo articolo, anche se forse un pò troppo “sbrigativo”. Cmq volevo chiederti come mai ti hanno defacciato il sito? eh si..lo è stato da ieri pomeriggio fino a poche ore fa se non sbaglio, forse hai pestato i piedi ad un pezzo grosso…vabbe ti lascio alle tue faccende.
    ciao
    ps= di sicuro starai scrivendo un articolo riguardo cio’. detto questo ciao

Non è possibile più aggiungere commenti all'articolo.