Perdida de información en cva.anses.gov.ar

Para seguir con la colección de vulnerabilidades y fallas de sugirdad, en resposible disclosure, podemos añadir un segundo problema que logramos resolver en los servidores de cva.anses.gov.ar.

Comienzo del mail:


Hola señores! cómo les va?

Les escribo porque encontré algo que verdaderamente me llamó la atención, ubicado en los sistemas de http://www.cva.anses.gov.ar (Campus Virtual de Anses). La aplicación web pide una imagen ubicada en una fuente externa, algo notorio que no había visto en servicioscorp, al menos no con una imagen.

En la imágen se puede ver remarcado, el pedido que realiza cva.anses.gov.ar hacia p4000494.ferozo.com en una comunicación no encriptada, la imágen no se encuentra disponible en el servidor, y devuelve un error 404. Sin embargo, la comunicación HTTP envía información sobre los usuarios que se encuentran navegando y usando cva.anses.gov.ar, cómo se puede ver en la próxima imágen:

Los encabezados de la solicitud, muestran algunas de las variables que son enviadas hacia el servidor externo, como información del navegador de los usuarios, la procedencia del tráfico y unas cookies vinculadas al nombre de dominio en este caso. Más allá de esta información, el servidor remoto, posee la hora en la cual la imagen es pedida, y la dirección de IP de cada una de las conexiones, en otras palabras, el servidor remoto es capaz de ver la dirección de IP de cada uno de los usuarios, lo cual hace posible una medición del volumen del tráfico, y la hora a que los usuarios navegan por la web.

De manera adicional, la imagen está ubicada en la cabecera de la web, por lo cual es cargada a lo largo de toda la aplicación web, realizando este pedido siempre, y no solo una vez, desde una posición específica.

La sorpresa más grande fue al acceder al a p4000494.ferozo.com y ver que el subdominio de una empresa privada, resolvía en el dominio http://delosperonistas.com/

De esta manera, quien fuera que fuese el dueño de http://delosperonistas.com/ podría estar analizando los patrones de navegación, y posiblemente, información sensible de cada uno de los usuarios que visita y navega por la web del Campus Virtual de Anses. Permitiéndole sacar métricas y estadísticas de su uso. Me pareció que podría resultar de utilidad hacer una búsqueda sobre el nombre de dominio:


  • Admin Name: Lautaro Mallo
  • Admin Organization: Lautaro Mallo
  • Admin Street: diag 75 n° 1056 3° 2°
  • Admin City: La Plata
  • Admin State/Province: Buenos Aires
  • Admin Postal Code: 1900
  • Admin Country: ar
  • Admin Phone: +54.891646
  • Admin Phone Ext:
  • Admin Fax:
  • Admin Fax Ext:
  • Admin Email: lautaromallo@gmail.com

Es importante mencionar, que este sitio web, además se encuentra alojado en una empresa privada nacional (www.donweb.com), y no en los servidores de anses, la cual también tiene acceso a la información previamente mencionada.

Para finalizar el mail, las buenas noticias son que todo esto se puede corregir, borrando la siguiente línea de código, ubicada en (http://www.cva.anses.gov.ar/theme/styles.php/essential/1523459378/all)
que además de generar estas circunstancias, no posee ninguna utilidad práctica:

Espero que les sirva;
Saludos cordiales y buen fin de semana,
Chris,

Vulnerabilidades remediadas en cva.anses.gov.ar

A fin de variar un poco con la información publicada, y para que no sean solo ideas de negocios y problemas lógicos, decidí comenzar a publicar algunas vulnerabilidades y fallas de seguridad.

En una colección que voy a clasificar como responsible disclosure, donde se publicarán vulnerabilidades y fallas de seguridad las cuales ya hayan sido remedidas, las cuales, sin embargo, pueden ser usadas para la comprensión y análisis de algunos problemas comunes.

Sin más preludio, he aquí la información:


Buenos días señores,

Les envío una vez más un breve informe ad honorem, el cual considero que podría servirles, sobre un grupo de fallas de seguridad que hacen posible acceder a información sensible desde la aplicación ubicada en cva.anses.gov.ar. El problema comienza por el uso genérico de nombres de usuario y passwords, dado que son generados en base a información de dominio público.

La aplicación sirve como un “campus” a fin de brindar cursos y formación para los empleados de Anses, a fin de acceder de poder inscribirse en los cursos, o bien acceder a la información brindada, es necesario un usuario válido.

Explorando un poco las diversas secciones, se localizó un PDF, en el cual se puede observar que el nombre de usuario se conforma de 10 símbolos, al igual que el password del mismo. Lo cual dio lugar a suponer que el password del usuario era igual o bien, similar al nombre de usuario. A la vez, el formulario de acceso, informa que los nombres de usuario corresponden con los números de legajo.

Se usó una aplicación localizada en Anses seguridad a fin de conseguir una base de números de legajos, a fin de obtener un formato válido de los mismos, con estos mismos usuarios, se comenzarían las pruebas a fin de analizar la posibilidad de que los passwords, en algún caso correspondieran con el usuario. Vale la pena mencionar, que al realizar una búsqueda sin especificar ningún valor (sin DNI, nombre ní números), la aplicación parece devolver cada uno de los records disponibles.

Se realiza la primera prueba con un posible usuario localizado en Anses seguridad.

Dado que el password no había sido nunca cambiado, fue posible acceder a la aplicación e incluso cambiar el password del usuario. Luego de realizar las pruebas el password fue re-definido a su valor original. Un usuario malicioso, podría realizar un cambio masivo de passwords o publicar información personal, sensible o maliciosa usando las credenciales de diversos usuarios.

La aplicación confirma que el password fue remplazado. Podemos añadir que previo a realizar el cambio de password, la aplicación debería de haber enviado un mail de confirmación a la casilla del usuario, a fin de verificar el proceso, lo cual hubiera hecho imposible cambiar el password, sin conseguir un previo acceso a su email.

Una véz en validado con el usuario en la aplicación es posible remplazar el email, remplazar información personal del usuario, o incluso publicar información en la aplicación, la cual daría lugar a vulnerar más usuarios, o ganar aún más acceso.

La dirección de email del usuario y diversos campos e información del usuario podrían ser manipuladas, a fin de realizar maniobras vinculadas a la ingeniería social, re-direccionar a los usuarios hacia webs maliciosas, y más.

Una segunda imágen que fue sacada desde un segundo usuario.

Desde la sección de cursos es posible ver el calendario de cursos y programas de Anses, los que ya fueron realizados, al igual que los que serán realizados. Lo cual se podría considerar como una exposición de información sensible.

Al igual que el calendario, es posible ver información y desarrollos propios de Anses. En el mismo grupo podemos incluír la comunicación privada de los usuarios.

Si bien la aplicación busca forzar que el password sea remplazado en el primer acceso, es posible evadir el mecanismo, y proceder sin cambiar el password, haciendo click en un nuevo enlace. De esa manera, muchos usuarios pueden acceder por primera vez y no cambiar el password. Es recomendable que la aplicación fuerce a los usuarios a cambiar el password previo a usar la aplicación, una vez que inician la sesión por primera vez.

A fin de calcular el volumen del problema, se realizaron pruebas por medio de una secuencia de código, usando burp. Se probó la seguridad de 1,636 usuarios, de los cuales, 170 fueron vulnerables (10.39%), dado que el password nunca había sido remplazado, o bien, había sido remplazado usando el mismo password. Las lineas marcadas en la imagen corresponden con usuarios vulnerables.


Usuarios vulnerables

información parcial, sobre 1,636 usuarios, de los cuales, 170 fueron vulnerables (10.39%)

N° de L. Nombre Dirección de email Password
11044 Graciela Liliana Diaz gldiaz@anses.gov.ar 11044
989735 Veronica Sandra Lopez verosanlopez@anses.gov.ar 989735
989702 German Agustin Medina gamedina@anses.gov.ar 989702
902314 Ariana Dafne Peralta adperalta@anses.gov.ar 902314
902386 Marcela Fabiana Schiariti mfschiariti@anses.gov.ar 902386
902585 Alejandra Irene Lefortt ailefortt@anses.gov.ar 902585
902911 Silvia Veronica Ieracitano svieracitano@anses.gov.ar 902911
902665 Miguel F. Arias Evans mfariasevans@anses.gov.ar 902665
903087 Beatriz Del Carmen Nagorr bcnagorr@anses.gov.ar 903087
902682 Juan Alejandro Mendez jamendez@anses.gov.ar 902682
903252 Nanci Judith Enrico njenrico@anses.gov.ar 903252
902584 Maria Veronica San Juan mvsanjuan@anses.gov.ar 902584
902323 Fernando Daniel Moran fernandodmoran@anses.gov.ar 902323
902574 Mariela Luisa Trejo mltrejo@anses.gov.ar 902574
902898 Maricel Virginia Chiraulo mchiraulo@anses.gov.ar 902898
903138 Nestor Daniel Gonzalez nestordgonzalez@anses.gov.ar 903138
902756 Jorge Hernan Vignolo jhvignolo@anses.gov.ar 902756
903057 Ernesto S. Bavio Figueroa ebavio@anses.gov.ar 903057
902618 Walter Gustavo D. Aguilar wgdaguilar@anses.gov.ar 902618
902347 Maria Victoria S. Bajarlia mvbajarlia@anses.gov.ar 902347
902688 Emiliano Andres Brolese eabrolese@anses.gov.ar 902688
903068 Juan Maria Mondelo jmmondelo@anses.gov.ar 903068
902638 Pablo Daniel Battaglia pbattagliavaldecantos@anses.gov.ar 902638
903038 Paula Souza Alexandre 903038@mail.com 903038
903045 Maria Guadalupe Martinez  mgbuisanmartinez@anses.gov.ar 903045
903198 Liliana Hernandez Miri lhernandezmiri@anses.gov.ar 903198
903267 Mariel L. Olivera Cordoba mloliveracordoba@anses.gov.ar 903267
902401 Francisco H. Petrissans fhpetrissansventos@anses.gov.ar 902401
902652 Patricia Beatriz Fraccarolli pbfranccaroli@anses.gov.ar 902652
902793 Maria E. Ballivian Jimenez meballivian@anses.gov.ar 902793
902632 Ricardo M. De Ao Alvarez rmdeanoalvarez@anses.gov.ar 902632
902685 Fernandez M. Gomez mfgomez@anses.gov.ar 902685
902750 Mariela Alejandra Gonzalez marielaalejandragonzalez@anses.gov.ar 902750
903187 Veronica Gabriela Cisterna vgcisterna@anses.gov.ar 903187
902706 Norberto Vicente Pingitore nvpingitore@anses.gov.ar 902706
902980 Miriam Alejandra Rodriguez mirianrodriguez@anses.gov.ar 902980
902507 Lorena M. De Los A. Suarez marialsuarez@anses.gov.ar 902507
903013 Silvana Natalia Rodriguez snrodriguez@anses.gov.ar 903013
902769 Matias Alejandro Swistun maswistun@anses.gov.ar 902769
903155 Mariana Veronica Palermo mvpalermo@anses.gov.ar 903155
903184 Mauricio Edgardo Bianchi melbianchi@anses.gov.ar 903184
902511 Luciano F. Fernandez 902511@anses.gov.ar 902511
903042 Silvia Patricia Mendieta spmendieta@anses.gov.ar 903042
903056 Noelia Fernanda Plattner nfplattner@anses.gov.ar 903056
902359 Francisco Sicardi  fscicardi@anses.gov.ar 902359
902715 Maria Virginia Rodriguez mvrodriguez@anses.gov.ar 902715
902747 Guadalupe P. Georgiadis gpgeorgiadis@anses.gov.ar 902747
902907 Santiago Ezequiel Areal 902907@anses.gov.ar 902907
902987 Silvina Mariel Bauhoffer silviabauhoffer@anses.gov.ar 902987
903197 Ramona Antonia Ontiveros rontiveros@anses.gov.ar 903197
902442 Hector Horacio M. Lagorio hlagorio@anses.gov.ar 902442
902922 Irma Maria Susana Pereyra imspereyra@anses.gov.ar 902922
903126 Claudia Alejandra Soloaga casoloaga@anses.gov.ar 903126
903180 Horacio Guillermo Herrera hgherrera@anses.gov.ar 903180
902697 Emilio Walter Ramon Adur ewradur@anses.gov.ar 902697
902852 Horacio Maximiliano Frua hmfrua@anses.gov.ar 902852
903226 Maria Francisca Saravia mfsaravia@anses.gov.ar 903226
902341 Gustavo M. Sagastume gmsagastume@anses.gov.ar 902341
902407 Luis Gustavo Castro Millan lcastromillan@anses.gov.ar 902407
902983 Maria Victoria Forgione mvforgione@anses.gov.ar 902983
903026 Estela Graciela Rodriguez egrodriguez@anses.gov.ar 903026
902543 Maria Cristina Santangelo 902543@mail.com 902543
902557 Patricia Alba Alzugaray paalzugaray@anses.gov.ar 902557
902599 Marcela Elvira Bustamante mebustamante@anses.gov.ar 902599
902791 Oscar Enrique Schneider oeschneider@anses.gov.ar 902791
902853 Norma Beatriz Saradjian nbsaradjian@anses.gov.ar 902853
902889 Alejandro Federico Ragosta 902889@anses.gov.ar 902889
902935 Martin Alejandro Sliwa martinsliwa@anses.gov.ar 902935
903104 Maria Cristina Fuensalida 903104@mail.com 903104
902532 Pablo Sebastian Porcel pporcel@anses.gov.ar 902532
902900 Marta Susana Sigmaringo msigmaringo@anses.gov.ar 902900
902916 Angelica Dorotea Manzano amanzano@anses.gov.ar 902916
902723 Diana Marisa Pietrantueno dmpietrantueno@anses.gov.ar 902723
903133 Claudio Osvaldo Palmeiro copalmeiro@anses.gov.ar 903133
903216 Cecilia Anabela Schelske cschelske@anses.gov.ar 903216
903245 Natalia Alejandra Neo naneo@anses.gov.ar 903245
903259 Maximiliano Inchaurraga minchaurraga@anses.gov.ar 903259
903269 Fernando Nestor Chaparro fnchaparro@anses.gov.ar 903269
902472 Gabriela Laura De Santis gldesantis@anses.gov.ar 902472
902565 Valeria M. D Alessandro vmdalessandro@anses.gov.ar 902565
902615 Orlando Oscar Figueroa oofigueroa@anses.gov.ar 902615
902730 Norma Gorizia Galliano 902730@mail.com 902730
902910 Daniela Del Valle Oyola danielaoyola@anses.gov.ar 902910
902926 Mariela Carla Cadranel mccadranel@anses.gov.ar 902926
902958 Diego Humberto Mambretti diegomambreti@anses.gov.ar 902958
903243 Viviana Mabel Gallardo vmgallardo@anses.gov.ar 903243
902803 Stella Maris Lorenzino smlorenzino@anses.gov.ar 902803
902856 Rosana Griselda Ibaez rgibaniez@anses.gov.ar 902856
902915 Laura Fabiana Rebagliati lfrebagliatti@anses.gov.ar 902915
902528 Ariel Guillermo Pereyra agpereyra@anses.gov.ar 902528
902809 Celina Graciela Robledo cgrobledosamayoa@anses.gov.ar 902809
902928 Griselda Eliana Bajouth gebajouth@anses.gov.ar 902928
903253 Cristian Miguel Leuffen cmleuffen@anses.gov.ar 903253
902344 Cristina Menendez Barrero cobarreromenendez@anses.gov.ar 902344
902508 Maria Agustina Gonzalez 902508@mail.com 902508
902617 Gustavo Fabian Pugliese gfpugliese@anses.gov.ar 902617
902887 Mirta Beatriz Cabezon mbcabezon@anses.gov.ar 902887
903073 Carlos Alberto Castillo cacastillo@anses.gov.ar 903073
902335 Gustavo Fernando Lopez gfgrisolialopez@anses.gov.ar 902335
903099 Maria Del Carmen Perez mdcperez@anses.gov.ar 903099
903125 Alberto Martin Novo Guell amnovoguell@anses.gov.ar 903125
902315 Ximena Aixa Ampugnani xaampugnani@anses.gov.ar 902315
902454 Delicia Irlanda Correa idcorrea@anses.gov.ar 902454
902580 Laura Elizabeth Romero leromerolorenzon@anses.gov.ar 902580
902832 Jorge Guillermo Pieiro jgpineiro@anses.gov.ar 902832
902929 Diego Martin Barrientos dmbarrientos@anses.gov.ar 902929
902981 Roberto Adrian Roman 902543@mail.com 902981
902991 Maximiliano Astudillo mastudillo@anses.gov.ar 902991
903025 Fanny Elizabeth Colque fecolque@anses.gov.ar 903025
903064 Ricardo Nestor Gaite rngaite@anses.gov.ar 903064
903161 Javier Alberto Mercuri jmercuri@anses.gov.ar 903161
903236 Marcelo Alejandro Pea mpenia@anses.gov.ar 903236
902346 Romina Laura Coronel rlcoronel@anses.gov.ar 902346
902742 Julieta Gismondi Barros jgismondibarroso@anses.gov.ar 902742
902914 Marta Alicia Yuanasi myuanasi@anses.gov.ar 902914
903058 Claudia Mabel Figueroa claudiamfigueroa@anses.gov.ar 903058
902413 Carlos Oscar Kozlowski ckozlowski@anses.gov.ar 902413
903209 Maria Andrea Cavallini macavallini@xxxxxxxxx 903209
903265 Leandro Gabriel Campo lcampo@anses.gov.ar 903265
902354 Julio Cesar Bergottini jcbergottini@anses.gov.ar 902354
902321 Karina Andrea Scalise kascalise@anses.gov.ar 902321
902364 Monica Edith Flores mflores@anses.gov.ar 902364
902455 Norma Amelia Guerra naguerra@anses.gov.ar 902455
902759 Gustavo Diego Tassano gdtassano@anses.gov.ar 902759
902781 Leonardo Akio Hattori 902781@anses.gov.ar 902781
902782 Graciela Cota Buzaglo gbuzaglo@anses.gov.ar 902782
903258 Pablo Javier Canals pcanals@anses.gov.ar 903258
902327 Fabian Armando Ponce faponce@anses.gov.ar 902327
902594 Angel Pablo Giachello 902594@mail.com 902594
902997 Silvia Estela Lera selera@anses.gov.ar 902997
903145 German Teodoro Knees gtknees@anses.gov.ar 903145
902732 Sandra Noemi Mayol snmayol@anses.gov.ar 902732
902744 Julio Horacio Tejero jhtejero@anses.gov.ar 902744
902699 Jorge Nestor Mayorga jmayorga@anses.gov.ar 902699
902569 Rita Anali Barzola rabarzola@anses.gov.ar 902569
903240 Federico Muoz Femenia 903240@anses.gov.ar 903240
903158 Veronica Filipponi vfilipponi@anses.gov.ar 903158
902325 Laura Noemi Cortese lncortese@anses.gov.ar 902325
902420 Hilda Ines Ricaurte hricaurte@anses.gov.ar 902420
902588 Hector Adolfo Seri 902588@anses.gov.ar 902588
902864 Maria Cecilia Pomo mcpomo@anses.gov.ar 902864
903306 Luca Ftima Iglesias lfiglesias@anses.gov.ar 903306
902927 Juan Ignacio Armas jarmas@anses.gov.ar 902927
903233 Cesar Adrian Ibaez caibanez@anses.gov.ar 903233
902370 Carlos Jose Galmes cjgalmes@anses.gov.ar 902370
902901 Violeta Contreras vcontreras@anses.gov.ar 902901
903162 Ivan Elias Garrido igarrido@anses.gov.ar 903162
903182 Daniela K. Rodeyro dkrodeyro@anses.gov.ar 903182
902989 Alicia Monica Armas smarmas@anses.gov.ar 902989
903018 German Casteluccia gcasteluccia@anses.gov.ar 903018
902490 Marisol Cardoso mcardoso@anses.gov.ar 902490
902689 Julia Ester Lera jelera@anses.gov.ar 902689
902748 Osvaldo Mattias 902748@mail.com 902748
903059 Mariana Lorenzo mlorenzo@anses.gov.ar 903059
902885 Eva Indira Leaez eleanez@anses.gov.ar 902885
902666 Teresita Carou tcarou@anses.gov.ar 902666
902775 Maria Cristina Santangelo 902543@mail.com 902775
902977 Juan Jose Bulens jjbulens@anses.gov.ar 902977
903147 Cristina Collazo ccollazo@anses.gov.ar 903147
903110 Silvia Mendoza 903110@mail.com 903110
903142 Natalia Carro ncarro@anses.gov.ar 903142
902411 Enrique Pifarre epifarre@anses.gov.ar 902411
903186 Matias Laroze mlaroze@anses.gov.ar 903186
902431 Ana Maria Foglia amfoglia@anses.gov.ar 902431
903210 Lorena Castillo lcastillo@anses.gov.ar 903210
902622 Alejandra Dussau apdussau@anses.gov.ar 902622
903088 Alejandra Politi apoliti@anses.gov.ar 903088
902789 Agustina Celoria aceloriaanses.gov.ar@anses.gov.ar 902789
903242 Martin Lopez lopezmartin@anses.gov.ar 903242
902497 Beatriz Amigo bamigo@anses.gov.ar 902497
902785 Beatriz Matas bmatas@anses.gov.ar 902785
903115 Mauro Costa mcosta@anses.gov.ar 903115
902917 Analia Luca analialuca@anses.gov.ar 902917
903037 Alejo Urbani aurbani@anses.gov.ar 903037

El análisis de los 1,636 usuarios demoró menos de 10 horas, y luego se suspendió la aplicación, dado que consideramos que sería posible calcular, o al menos aproximar un indice. Vale la pena mencionar que para un usuario malicioso, sería posible el remplazo de los passwords de cada uno de los usuarios vulnerables, conformando los mismos un aproximado de 10.39%, forzaría a él área de IT a hacer un remplazo global de los passwords de cada uno de los usuarios dado el riesgo implicado.

En cualquier caso es recomendable realizar un análisis más amplio, a fin de poder definir la seriedad del caso, y poder confirmar si en verdad hablamos de un 10% de usuarios vulnerables.


Para finalizar, quisiera mencionar que desde un solo usuario vulnerable, sería posible probar de ganar acceso al servidor, o bien, elevar los privilegios a fin de conseguir aún mayor acceso, a la aplicación, al servidor o incluso a la red, dado que el código usado (Moodle) dispone de una amplia colección de fallas de seguridad, las cuales no han sido probadas una a una, pero de seguro conllevan algunos riesgos adicionales para el subdominio. Como podrán observar, varias de las vulnerabilidades fueron localizadas e informadas en el 2017 y 2018, por lo cual no me sorprendería si alguna de las mismas fuera aplicable al caso.


Sumario de posibles consecuencias:

  • Cambio masivo de passwords, bloqueando el acceso a miles de usuarios.
  • Acceso a información confidencial de empleados del organismo.
  • Impersonificación, uso de los canales de comunicación para propagar desinformación.
  • Escalabilidad de la vulnerabilidad, combinando el acceso con diversas fallas de seguridad.
  • Vigilancia, o posible robo de información sensible.

Sumario de recomendaciones:

  • Redefinir las policies de passwords, haciendo que los passwords genéricos no usen información de acceso público.
  • Realizar modificaciones necesarias en la aplicación, a fin de que no sea posible evadir el cambio de password.
  • Al cambiar el password genérico la aplicación debería de enviar una confirmación por email, previa a realizar el cambio pedido.
  • Del mismo modo, la aplicación debería de pedir confirmación por email al realizar cambios en la información personal.
  • Considerar remplazo masivo de passwords dada la chance de que varios de los mismos ya hayan sido vulnerados.
  • Inclusión de CAPTCHAS seguros que prevengan el uso de código para realizar pruebas secuenciales.

Considero que Anses se vería beneficiada por un mecanismo que haga posible la comunicación rápida y eficaz de las fallas de seguridad localizadas, para luego ir revisando y supervisando cada caso de manera individual.

Para concluir, aprovecho la ocasión para mencionar, como podrán apreciar, que me hallo disponible y con ganas de poder celebrar un nuevo acuerdo que haga posible resumir con las pruebas de seguridad sobre las aplicaciones, redes y servidores de Anses, o incluso ofrecerme a fin de resumir los procesos de análisis desde las oficinas. En lo personal creo que aún quedan muchas cosas por realizar y creo que sería una buena idea abordarlas y remediarlas con la seriedad y urgencia requerida, dadas las condiciones.

Como, siempre, espero que les sirva la información brindada y quedo a disposición para lo que requieran!
Saludos cordiales;
Chris C. Russo