Perdida de información en cva.anses.gov.ar

Para seguir con la colección de vulnerabilidades y fallas de sugirdad, en resposible disclosure, podemos añadir un segundo problema que logramos resolver en los servidores de cva.anses.gov.ar.

Comienzo del mail:


Hola señores! cómo les va?

Les escribo porque encontré algo que verdaderamente me llamó la atención, ubicado en los sistemas de http://www.cva.anses.gov.ar (Campus Virtual de Anses). La aplicación web pide una imagen ubicada en una fuente externa, algo notorio que no había visto en servicioscorp, al menos no con una imagen.

En la imágen se puede ver remarcado, el pedido que realiza cva.anses.gov.ar hacia p4000494.ferozo.com en una comunicación no encriptada, la imágen no se encuentra disponible en el servidor, y devuelve un error 404. Sin embargo, la comunicación HTTP envía información sobre los usuarios que se encuentran navegando y usando cva.anses.gov.ar, cómo se puede ver en la próxima imágen:

Los encabezados de la solicitud, muestran algunas de las variables que son enviadas hacia el servidor externo, como información del navegador de los usuarios, la procedencia del tráfico y unas cookies vinculadas al nombre de dominio en este caso. Más allá de esta información, el servidor remoto, posee la hora en la cual la imagen es pedida, y la dirección de IP de cada una de las conexiones, en otras palabras, el servidor remoto es capaz de ver la dirección de IP de cada uno de los usuarios, lo cual hace posible una medición del volumen del tráfico, y la hora a que los usuarios navegan por la web.

De manera adicional, la imagen está ubicada en la cabecera de la web, por lo cual es cargada a lo largo de toda la aplicación web, realizando este pedido siempre, y no solo una vez, desde una posición específica.

La sorpresa más grande fue al acceder al a p4000494.ferozo.com y ver que el subdominio de una empresa privada, resolvía en el dominio http://delosperonistas.com/

De esta manera, quien fuera que fuese el dueño de http://delosperonistas.com/ podría estar analizando los patrones de navegación, y posiblemente, información sensible de cada uno de los usuarios que visita y navega por la web del Campus Virtual de Anses. Permitiéndole sacar métricas y estadísticas de su uso. Me pareció que podría resultar de utilidad hacer una búsqueda sobre el nombre de dominio:


  • Admin Name: Lautaro Mallo
  • Admin Organization: Lautaro Mallo
  • Admin Street: diag 75 n° 1056 3° 2°
  • Admin City: La Plata
  • Admin State/Province: Buenos Aires
  • Admin Postal Code: 1900
  • Admin Country: ar
  • Admin Phone: +54.891646
  • Admin Phone Ext:
  • Admin Fax:
  • Admin Fax Ext:
  • Admin Email: lautaromallo@gmail.com

Es importante mencionar, que este sitio web, además se encuentra alojado en una empresa privada nacional (www.donweb.com), y no en los servidores de anses, la cual también tiene acceso a la información previamente mencionada.

Para finalizar el mail, las buenas noticias son que todo esto se puede corregir, borrando la siguiente línea de código, ubicada en (http://www.cva.anses.gov.ar/theme/styles.php/essential/1523459378/all)
que además de generar estas circunstancias, no posee ninguna utilidad práctica:

Espero que les sirva;
Saludos cordiales y buen fin de semana,
Chris,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *