07 mayo 2009

McAfee: en casa de herrero, cuchillo de palo

Según leo en readwriteweb el propio website de la popular empresa de seguridad americana McAfee, podría haber contenido por un descuidado diseño en cuanto las restricciones de seguridad, una vulnerabilidad del tipo Cross-Site Scripting.

Ésta permitiría, entre otras cosas, que un usuario malicioso pudiera distribuir scareware utilizando la página web de McAfee como salto intermedio, de manera que podría efectuar el tan conocido y temido phising a los inocentes usuarios que hicieran click en un enlace especialmente construido utilizando una página web de McAfee.

Curiosamente McAfee vende un servicio denominado McAfee Secure que consiste en auditar los websites de las empresas que así lo contraten. Dicho servicio consiste en efectuar una serie de tests para comprobar que la página web del cliente en cuestión está exenta de fallos de configuración de servidor, de puertos permitidos de entrada, así como de vulnerabilidades web. Una vez que un website ha sido auditado, el cliente tiene más tranquilidad a la hora de exponer sus contenidos a Internet. En el caso de McAfee, como bien reza el título del post, "en casa de herrero, cuchillo de palo", parece ser que se les ha pasado el auditar su propia página web, que permite pues la ejecución de un bonito y peligroso XSS en su página McAfee Rebate Center.

Los sitios web de las organizaciones, sobre todo de aquellas que permiten la compra y venta a través de tarjetas de crédito, desde Junio de 2008 obligatoriamente han de ser compatibles con la normativa PCI-DSS. Dicha normativa, exige en su punto 6.6, que las aplicaciones web han de cumplir rigurosas medidas de seguridad para evitar el fraude a través de ellas. Para ello se obliga a efectuar auditorías de código revisables cada 3 meses, o la utilización de contramedidas como un cortafuegos de aplicaciones web (Web Application Firewall o WAF) de las que ya hablamos en SbD (1) y (2).

Os dejo la noticia original, con una demostración del código que permite ejecutar dicha vulnerabilidad, aquí.

3 comments :

eduardo abril dijo...

Y no ha sido el único ... Me he acordado antes de kaspersky, que también cayó en su momento: http://www.theinquirer.net/inquirer/news/1050901/kaspersky-hacked

Asfasfos dijo...

Bueno, esto también le pasó a Microsoft y a muchas otras :). Es dificil tener controlados todos tus dominios y páginas webs cuando eres una empresa tan grande.

Eso si...la mala imagen que dan no se la quita ni dios porque encima al ser empresas grandes los periodistas y la gente los cosen a balazos jaja :)

eduardo abril dijo...

Y no ha sido el único ... Me he acordado antes de kaspersky, que también cayó en su momento: http://www.theinquirer.net/inquirer/news/1050901/kaspersky-hacked