Tecnología y un poco más... Blog - Mopa Hosting, sistemas, cómputo y más

logo M
M Cómputo y sistemas
Title
M Cómputo y sistemas
Vaya al Contenido

Fallo de seguridad encontrado en varios proveedores de Hosting

Mopa Hosting, sistemas, cómputo y más
Publicado por en Otros ·

Fallo de seguridad encontrado en varios proveedores de Hosting

 
 

Una vulnerabilidad, está afectando a la mayoría de usuarios y visitantes de grandes proveedores de hosting.
 
 
Y es que de acuerdo a  la investigación si un servidor hospeda varias cuentas compartidas, cualquiera de ellas puede obtener en tiempo real la actividad de las demás cuentas en el mismo.

 
 
Lo sorprendente de esto es que el problema se descubrió con gigantes del medio com BlueHost, Goddady, SiteGround, HostGator y otros más.

 
 

¿Cómo funciona?

 

La vulnerabilidad ofrece acceso a la página de estado, utilizada por los proveedores para monitorear los logs básicos de los servidores. La cual solo debe ser accesible a los administradores ¿O no?.

 
Por defecto la página de estado tiene restricción de IP, que hace que solo sea accesible desde el propio servidor; previniendo que alguien desde afuera pueda acceder a ella.

 
Pero en cPanel se puede pedir el acceso a esa página sin ser del equipo de administradores.

 
Incluso sin acceso root cualquiera puede extraer del servidor la actividad en tiempo real usando solo un script de php que obtiene la página de estado usando la dirección local 127.0.0.1
 
He aquí el ejemplo:

 
<?php
= 'http://127.0.0.1/whm-server-status';
= curl_init();
curl_setopt(, CURLOPT_URL,);
= curl_exec();
curl_close();
echo ;
?>

Tambien puedes usar la direccion local en IPV6 “ - ‘http://[::1]/whm-server-status”





 

En esencia solo es cuestión de:


 
1.   Comprar una cuenta de hosting
2.   Correr el script
3.   Crear un cronjob para obtener de manera constante los datos capturados.
   

 

Que se puede obtener con el script


 
1.   IP de los visitantes.
2.   Peticiones exactas de los usuarios.(incluye enlaces ocultos)
3.   IP de las páginas
4.   La capacidad de identificar páginas débiles y aprovecharlas.
     





 
Y es que este fallo no es nuevo en 2012 Daniel Cid descubrió que varios sitios web tenían publica la página de estado y podía ser vista por todos.

 
 

¿Puede afectar seriamente al usuario?

 

Si eres usuario de hosting compartido, tus datos pueden ser accesibles por cualquiera en el mismo servidor.
 
Y considerando que el servidor puede hospedar a unos cientos de clientes, es un riesgo serio.

 
Si no utiliza password encriptados malas noticias, para los sistemas que utilizan plataformas no cifradas y generan inicios de sesión como URL personalizada tipo /login.php?username=YOURUSERNAME&password=YOURSECUREPASSWORD son  un problema.

 
Y no importa si el sitio web utiliza HTTP ó HTTPS la página de estado ve a ambos como texto plano.
 
Hasta el momento el único proveedor que no había resuelto el problema es GoDaddy, el fallo se asume es de todos los Hospedajes compartidos que utilizan cPanel.

 
Aunque el fallo no es exclusivo de cPanel si depende mucho del proveedor de servicio.

 
Por nuestra parte hicimos pruebas con un servidor de un cliente y si no es el mismo fallo (ya que cambiamos whm-server-status por server-status) y los datos obtenidos no sonlos mismos del fallo, si podemos ver los directorios donde están hospedados los demás sitios,

¿Qué se puede hacer con esto, aún no estamos seguros pero…?






¿Qué puedo hacer?


Desgraciadamente nada y es cosa de su proveedor; y aunque algunos ya corrigieron el error no puede ser seguro si el script anterior le arroja resultados avise a su proveedor de hosting.

***Como mencionamos, el primer fallo de este tipo fue descubierto en 2012; pero, si hacemos una búsqueda 'inurl: "/server-status"' en google aun podemos hallar varios sitios con el fallo.



comments powered by Disqus
Regreso al contenido