Resultados 1 al 2 de 2

Tema: Una inyección SQL que te dejará helado (CVE-2010-4284)

  1. #1 Una inyección SQL que te dejará helado (CVE-2010-4284) 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    Todos conocemos ya lo que es una inyección de código SQL, su importancia, su cantidad de formas de utilización y explotación, así como el juego que puede dar en según que páginas web. Es una vulnerabilidad antigua, que se puede evitar fácilmente, pero que aún a día de hoy, es posible encontrarla en cualquier tipo de página o sitio, sea de una compañía grande o pequeña.

    No sólo se puede utilizar para la extracción de información de una base de datos mediante un conjunto de consultas, también se pueden crear sentencias concretas que permitirían autenticarse en un formulario sin conocer ni usuario ni contraseña, o acceder como un usuario determinado sin necesidad de conocer su contraseña. Que sensación se le queda a uno en el cuerpo cuando, tras introducir el famoso "orunoigualauno" en los campos de un formulario de autenticación y encontrarte con un "Bienvenido al panel del control admin!", ¿verdad?.

    Volvamos al motivo de este post, tras esta pequeña introducción: Hoy vamos a hablar de aires acondicionados, ahora que parece que en breve comenzará a apretar el calor by default del verano. Y vamos a hablar de inyecciones SQL en páginas atípicas, como son en paneles de control de dispositivos cerrados, por lo que la implantación de la solución resulta algo más compleja, sobretodo si se sabe que dicho dispositivo se ha implantado físicamente en más de 15 países.

    Imaginemos la situación en una casa: si queremos apagar o encender el aire acondicionado, regularlo, controlarlo, hacer que automáticamente se encienda y apague en un determinado momento del día, así como subir o bajar la temperatura bajo demanda, recurrimos al mando a distancia típico. Pero, ¿y si nos encontramos en un edificio de X plantas de una oficina, colegio, universidad o cualquier otro tipo de organización, con un aparato de aire acondicionado por cada departamento, sección, clase o aula? El ir aparato por aparato, con su correspondiente mando, cambiando la configuración o estableciendo los valores de temperatura deseados, puede llegar a ser una tarea ardua. Solidaridad con lo pobres conserjes, por favor.

    Para ello, existen dispositivos mediante los cuales es posible monitorizar y administrar un gran número de aparatos de aire acondicionado...cómodamente desde un navegador web...¡como a mi me gustan!

    Uno de estos aparatos es el Integrated Management System DMS de la compañía Samsung, y tiene una pinta tal que así:


    El diagrama del sistema completo gestionado mediante el DMS es el siguiente:


    Entre sus funciones destacan, como no, la gestión centralizada, establecimiento de límites de temperatura, monitorización por equipo, establecer temperaturas por hora (por ejemplo, definir que únicamente funcione con unas características determinadas en una franja horaria que podría ser el horario laboral), distribución de potencia por aparato (y así controlar el gasto energético)...y...la posibilidad de interactuar con el sistema de control de incendios...


    Para acceder a tal conjunto de interesantes funcionalidades, únicamente es necesario acceder vía web al dispositivo a través del puerto 80 (como si se tratase de un router adsl normal), y nos encontraremos el siguiente formulario de login:

    Sabéis el siguiente paso, tras lo contado en la introducción de este post ¿no?
    ¿Y qué ocurre?



    Estado de todos los dispositivos conectados


    Historial de error de todos los aparatos conectados


    Estableciendo una "agenda" de acciones para los dispositivos conectados


    La sentencia ejecutada en el formulario de autenticación, además de permitirnos entrar en el sistema, nos otorgará los privilegios del primer usuario que aparezca en la tabla de usuarios...¿os podéis imaginar cual puede ser en el siguiente caso? Accedamos al menú de gestión de usuarios del dispositivo:


    Gestión de cuentas de usuario para acceso al dispositivo

    Control total sobre el dispositivo con lo que ello conlleva, gracias al amplio abanico de funcionalidades que ofrece este dispositivo. No necesitamos saber usuarios y contraseñas por defecto.

    Samsung, en coordinación con el ICS-CERT, ha publicado una actualización para esta vulnerabilidad, como se puede ver en el informe de seguridad correspondiente. También podréis consultar la notificación de seguridad ICSA-11-069-01 [PDF] publicada por el propio ICS-CERT. Se recomienda a los usuarios actualizar los sistemas mediante el parche proporcionado por el fabricante.

    Vulnerabilidad de inyección SQL que quizás no nos permita extraer información de una base de datos, pero como dice el título, podría dejar helado a tus compañeros de trabajo, aunque también te permitiría hacerles sudar. O quién sabe, si en un momento dado necesitáis una sala de reuniones con la temperatura adecuada para colgar unos buenos jamones...

    Referencias:
    [+] http://www.kb.cert.org/vuls/id/236668
    [+] http://www.securityfocus.com/bid/47746
    [+] http://www.us-cert.gov/control_syste...-11-069-01.pdf

    Publicado por José A. Guasch en http://www.securitybydefault.com/201...ra-helado.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Oct 2010
    Mensajes
    401
    Descargas
    24
    Uploads
    0
    Que fuerte me va dar algo xd.
    René Pérez Joglar: Pa' tener a un listo que no dice nada prefiero a un idiota que hable mucho.
    Citar  
     

Temas similares

  1. Movistar dejara de subvencionar moviles
    Por hydor.rg59 en el foro TELEFONÍA MOVIL
    Respuestas: 0
    Último mensaje: 27-02-2012, 20:39
  2. Respuestas: 0
    Último mensaje: 20-04-2007, 22:37
  3. AVG dejara de ser gratuito
    Por clarinetista en el foro APLICACIONES
    Respuestas: 11
    Último mensaje: 21-11-2006, 02:09
  4. Antivirus de Symantec dejará de enviar spam
    Por .Yok3R. en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 14-05-2004, 02:10
  5. Linus Torvalds dejará el desarrollo de los nuevos kernels
    Por Clase en el foro LINUX - MAC - OTROS
    Respuestas: 0
    Último mensaje: 03-04-2002, 23:45

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •