24 diciembre 2008

American Express y los Cross-Site Scriptings

Y yo que pensaba que 'XSS' y 'American Express' NUNCA podrían ir juntos en el texto de ningún post, y me encuentro con esto...que decepción más grande. Pongámonos en situación:

Hace unos días, aproximadamente una semana, TheRegister informó de un fallo de seguridad en la página Web de American Expressamericanexpress.com, entidad financiera famosa entre otras cosas por sus preciosas tarjetas de crédito.

El fallo o vulnerabilidad Web es el archiconocido (y típico) Cross-Site Scripting, también designado como XSS, y que atendiendo a la OWASP, se da cuando un atacante utiliza una aplicación Web para enviar código malicioso, generalmente en forma de script en el lado del navegador, a otro usuario. Con ello, podemos desde robar cookies de sesión, tokens, u otro tipo de información sensible que pueda estar almacenada en el navegador sobre el sitio para su posterior uso.

Pues esta vulnerabilidad, que como podréis ver, tiene consecuencias bastante graves en un sitio como americanexpress.com, lejos de ser rápida e inminentemente corregida, lo único que se ha hecho es parchear minimamente, y volver a caer en el mismo fallo.

El primer descubrimiento lo hizo Russ McRee, en el que en un post de su grupo de seguridad, HolisticInfoSec, detalla (en inglés) todo lo acontecido sobre esta vulnerabilidad. Algo típico: en un parámetro, cerrar comillas e inyectamos el código deseado.


La página interpreta el código, y ejecuta el fragmento, con sus correspondientes consecuencias. La empresa es reportada una y otra vez, y como es tan habitual últimamente, no se le presta atención. Una vez se hace público, TheRegister publica la noticia, y casualmente al día siguiente, se procede a su "arreglo" (hablamos de una validación de parámetros, no es que suponga un alto coste). 

¡Pero no! A los pocos días después, se vuelve a reportar, esta vez por parte de un par de fuentes, que sigue existiendo vulnerabilidad. Igual no tan simple de explotar como la anterior, pero al fin y al cabo, la misma vulnerabilidad.


Finalmente, y viendo como todos los medios se le empezaban a echar encima, parece que los "investigadores" del equipo de desarrollo de la compañía han despertado, y después de proclamar que la seguridad de sus clientes es lo más importante (me han parecido oir risas de fondo...no seais malos...) han dicho que están trabajando en las vulnerabilidades.

Señores, seamos un poco serios por favor.

Más información:

2 comments :

dGil dijo...

Sinceramente, me parece muy triste que una compañía de targetas de crédito tenga un fallo de seguridad así. Pero ya no solo por el fallo, sino que además se les avisa, tardan en solucionarlo y... ¡vuelven a cometer el mismo fallo!

sousuke dijo...

yo tambien pense lo mismo cuando encontre un xss en la misma pagina hace como 2 meses, pero mi sorpresa fue al enterarme que en http://xssed.com/ habian reportado mas casos de xss en esa pagina.
Esta vulnerabilidad es demasiado comun en estos dias, es mas diria que son pocas las paginas que no son vulnerables a xss