19 julio 2014

Hackeada la base de datos de usuarios del portal CNET


Un grupo de hackers llamado 'w0rm', al parecer de origen ruso, comprometió la base de datos de usuarios del portal de noticias sobre tecnología CNET. Curiosamente, dicha base de datos supuestamente contenía información sobre más de un millón de usuarios, pero el grupo ha decidido ni publicar el volcado ni proceder a al crackeo de contraseñas, ni siquiera a su venta. Inicialmente anunciaron que comenzarían una puja por valor de 1 bitcoin (alrededor de 600 dólares), pero todo se quedó en estrategia de marketing para que la noticia tuviese más relevancia en los medios.

Sobre temas técnicos del ataque, según un componente del grupo se comprometió el framework Symfony (PHP) para finalmente hacerse con el control del servidor subiendo un código PHP que les permitiría desde el propio navegador acceder a ficheros y obtener información sobre el sistema, como podemos ver en una imagen que distribuyeron en su propia cuenta de twitter.

Evidencia del compromiso del servidor de cnet.com
Curiosamente, a través de dicha cuenta, podemos comprobar como quién se esconde tras ella también lleva un "negocio" de venta de exploits para diferentes tecnologías. En el listado de 0days, se puede encontrar un supuesto RCE (Remote Code Execution - Ejecución de código remota) para Symfony:

Mercadeo de exploits propiedad de w0rm

Esto me hace pensar (opinión personal hasta que se me demuestre lo contrario) que quizás no haya dichas vulnerabilidades como tal, y w0rm utiliza sus compromisos de servicios para, a su vez, publicitar que se han llevado a cabo gracias a 0days de los que dispone. Puede haberlo comprometido, se puede ver en las evidencias, pero quizás aprovechando otra vulnerabilidad...

En la actualidad se conocen pocas vulnerabilidades relacionadas con este framework PHP, tal y como podemos ver en este enlace de cvedetails, y de ejecución de código únicamente las correspondientes con los códigos CVE-2013-1348CVE-2013-1397, del junio del año pasado pero con información actualizada a mediados de este...

El exploit de Symfony según la imagen asciende a 30.000$... ¿os fiaríais?

3 comments :

anonimo dijo...

Por 30.000€ me pongo yo a revisar el código PHP, que está en PHP, vamos, no tienes que desensamblar ni leches. Una barbaridad de dinero para algo que sólo hay que leer y al alcance de cualquiera, con lo que me da más la nariz que está enfocado a "pardillos" neófitos con dinero y desesperados.



Así a todo, es un tema raro desde luego, acceder a la BD de CNET y... no hacer nada, salvo publicitar sus "servicios". Habría que comprobar hasta dónde llega realmente la intrusión, porque como para fiarse de unos criminales.

JMFA dijo...

Algo así circulaba en el Wiki de la deep:

http://b7zz3ry7cpfhmsjj.onion/

Yo tampoco me fiaría.

LOL dijo...

¿Una SQL injection en Facebook? ¿La venden a $4000? Completamente falso.