5 servicios de alojamiento web encontrados vulnerables a múltiples fallas.


Un investigador de seguridad ha descubierto múltiples vulnerabilidades del lado del cliente con un solo clic en algunas de las empresas de alojamiento web más populares y utilizadas del mundo que podrían haber puesto a millones de sus clientes así como a miles de millones de visitantes de sus sitios en riesgo de piratería.

El investigador independiente y cazador de bugs Paulos Yibelo, quien compartió su nueva investigación con The Hacker News, descubrió aproximadamente una docena de vulnerabilidades de seguridad graves en Bluehost, Dreamhost, HostGator, OVH y iPage, lo que equivale a aproximadamente siete millones de dominios.

Algunas de las vulnerabilidades son tan simples de ejecutar, ya que requieren que los atacantes engañen a las víctimas para que hagan clic en un enlace simple o visiten un sitio web malicioso para hacerse cargo de las cuentas de cualquiera que utilice los proveedores de alojamiento web afectados.

Fallos críticos reportados en servicios de alojamiento web populares.

Yibelo probó todas las vulnerabilidades enumeradas a continuación en las cinco plataformas de alojamiento web y encontró varias vulnerabilidades de toma de cuenta, scripts cruzados y divulgación de información, que documentó en el blog Website Planet.

1. Bluehost 

La compañía propiedad de Endurance, que también es propietaria de Hostgator y iPage, y en total, los tres proveedores de hosting brindan servicios a más de 2 millones de sitios en todo el mundo. Bluehost fue encontrado vulnerable a:

Fuga de información a través de errores de configuración de origen cruzado de recursos (CORS)

Toma de control de cuenta debido a la incorrecta validación de la solicitud JSON CSRF

Se puede realizar un ataque Man in the middle debido a la validación incorrecta del esquema CORS

La falla de las secuencias de comandos en sitios cruzados en my.bluehost.com permite el control de la cuenta (demostrado en una prueba de concepto, a continuación)

2. Dreamhost 

El proveedor de alojamiento que administra un millón de dominios se encontró vulnerable a:

Toma de posesión de la cuenta mediante el uso de fallas de scripts entre sitios (XSS)

3. HostGator

El bypass de protección CSRF en todo el sitio permite un control completo

Múltiples configuraciones erróneas de CORS que conducen a fuga de información y CRLF

4. OVH Hosting 

La compañía que solo controla cuatro millones de dominios en todo el mundo se encontró vulnerable a:

Bypass de protección CSRF

Mala configuración de la API

5. iPage Hosting

Error en la toma de control de la cuenta.

Bypass de la Política de Seguridad de Contenido Múltiple (CSP)

Demostración en video









Yibelo dijo que tomó aproximadamente una hora en cada una de las cinco plataformas de alojamiento web en un promedio para encontrar al menos una vulnerabilidad del lado del cliente relacionada con la adquisición de cuentas, principalmente utilizando Burp Suite, una herramienta de prueba de seguridad de aplicaciones web. , y los complementos del navegador Firefox.

"Se centran principalmente en proteger los activos incorrectos, pero la mayoría de ellos tienen estándares de seguridad medios para sus portales de perfil de usuario y clases de vulnerabilidad de exfiltración de datos. La mayoría de sus protecciones se pueden evitar fácilmente usando trucos menos conocidos", dijo Yibelo a The Hacker News.

Entre las compañías de hosting afectadas, Yibelo encontró a Bluehost, HostGator e iPage como las más fáciles de piratear, aunque le dijo a The Hacker News que HostGator incluía "varias capas de controles de seguridad (que se pueden omitir, pero están ahí, a diferencia del otros sitios)."

Yibelo comunicó sus hallazgos a los proveedores de alojamiento web afectados, todos excepto OVH parchó sus servicios antes de que la información se hiciera pública ayer. OVH aún tiene que confirmar y responder a los hallazgos del investigador.



Fuente: https://www.websiteplanet.com/  


Compartir...

Siguenos en twitter: @disoftin
Compartir en Google Plus

Acerca de Fredy Avila

Ingeniero de Sistemas, CEH, ECSA.
Twitter personal: @fredyavila
Twitter blog:@disoftin

1 comentarios:

  1. Hello,
    In your story here: http://www.disoftin.com/2019/01/5-servicios-de-alojamiento-web.html
    can you please include credit to the original report we published (and TechCrunch also credited us for) https://www.websiteplanet.com/blog/report-popular-hosting-hacked/

    Thanks a lot,
    Noam

    ResponderEliminar