Se ha descubierto un agujero de seguridad de gran gravedad en el
software de comercio electrónico Cart32. La vulnerabilidad puede
definirse como una evidente puerta trasera basada en una password
secreta, por la cual un atacante podrá obtener el control total
del servidor y de las órdenes de compra.
El software de carro de compra Cart32 de McMurtrey/Whitaker &
Associates permite la creación de sitios web de comercio electrónico
bajo Win32, pero en el archivo principal del sistema (cart32.exe), el
encargado de ofrecer la funcionalidad de carrito de compra, se ha
encontrado una password secreta que puede emplearse para conseguir
información vital del sistema. De forma que un atacante puede
modificar las propiedades del carrito de compra así como acceder a los
detalles de las tarjetas de crédito de los usuarios, direcciones de
envío y todo tipo de información sensible.
Existen cientos de comercios electrónicos afectados que hacen uso de
Cart32, entre los que se incluyen Jazzworld.com, MusicWorld CD,
ComputerShop.com, Wirelesstoys.com, y ChocolateVault.com.
La contraseña se conoce de forma interna en el programa como
Cart32Password, y toma el valor de «wemilio» como puede verificarse en
el offset 0x6204h del archivo cart32.exe. A través de esta password un
atacante puede acceder a múltiples URLs no documentadas como
http://sistema_afetado/scripts/cart32.exe/cart32clientlist, lo que le
permitirá acceder a una lista de las passwords de cada tienda. Aunque
estas passwords aparecen cifradas pueden seguir siendo válidas, y
emplearse para crear una URL que permita al atacante obligar al
servidor a ejecutar un comando cuando se confirme un pedido.
Además de esto existe otra vulnerabilidad ya que se puede acudir
directamente a la URL
http://sistema_afectado/scripts/c32web.exe/ChangeAdminPassword y
modificar la password de administración sin necesidad de conocer la
anterior.
La compañía desarrolladora de Cart32 ha publicado los correspondientes
parches para evitar estas vulnerabilidades, si bien se ha visto
obligada a actuar de forma rápida al divulgarse la password de acceso,
ya que en un principió anunció que el parche estaría disponible lá
próxima semana. El anuncio de la publicación de los parches necesarios
con tanto retraso ha motivado un gran número de críticas, e incluso
compañías como L0pht han publicado parches alternativos. Por su parte
McMurtrey/Whitaker & Associates ha reconocido la existencia de la
puerta trasera, justificando su presencia para que los técnicos de la
empresa realizaran tareas de soporte cuando este era requerido.
Otra forma de eliminar el problema es editando el ejecutable con un
editor hexadecimal y modificar la password «wemilio» por otra palabra.
Por otra parte se hace recomendable asignar los permisos NTFS al
programa de administración c32web.exe de tal forma que sólo los
Administradores tengan acceso a él.
Más información:
Cart32
Parches
Parche de L0pht
Wired
Zdnet
antonior@hispasec.com
Deja un comentario