Cibertienda, el paquete de Banesto para la implantación de tiendas
virtuales, se ve aquejado de un fallo que puede permitir a cualquier
visitante de una de las tiendas alterar como quiera el contenido de
los carritos de la compra de otros clientes.
Esto es debido a un error de programación que cibertienda ha heredado
del viejo software de tiendas virtuales de Banesto y que por tanto
lleva presente desde el comienzo de la iniciativa por parte de este
banco.
El error consiste en una falta de aleatoriedad a la hora de generar
los identificadores de transacción que referencian las «shopping
carts» de los clientes. El hecho de que esos identificadores sean
predecibles permite que cualquiera que se conecte a la web de las
tiendas pueda adivinar los de otros clientes y alterar sus cestas
de compra añadiendo o quitando items a su gusto.
Es posible probar estos fallos de seguridad en el área de
demostración de http://www.cibertienda.org y observar cómo la casi
única fuente de aleatoriedad en dichos identificadores depende del
identificador de proceso (en UNIX) del primero de los CGIs de
cibertienda que nos haya atendido.
A pesar de que la vulnerabilidad reseñada en sí no es excesívamente
problemática para los clientes sí lo es para los dueños de las
tiendas virtuales que podrían ser víctimas de ataques de denegación
de servicio en los que un atacante se dedicase a vaciar las cestas
de la compra de los clientes permanentemente, evitando que estos
pudiesen llegar a comprar algo.
Este problema fué resultado de un par de horas de análisis del
código (y no de un sondeo riguroso) en las cuales también salieron
a la luz múltiples indicios de stack y heap overflows que quizá
pudieran conducir a un atacante a tomar control de los procesos de
cibertienda en el servidor remoto en los que se encuentren.
Más información:
El primer aviso público sobre esta vulnerabilidad fue dado a
conocer en la lista de seguridad/hacking de habla hispana:
http://www.argo.es/~jcea/artic/hack-faq.htm
jmbello@itchy.coverlink.es
