viernes, octubre 07, 2011

Jugando con RoundCube (2 de 5)

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
Autor: Enrique Rando
************************************************************************************************

Finalmente, centré mi atención en el directorio “logs”. Para que pudiera haber algo allí, estuve un rato enviando correos. Cuando listé su contenido, aparecían dos ficheros: “sendmail” y “errors”. El primero de ellos era apasionante:

Figura 8: Privacidad

Aparecía un log en el que se indicaba quién enviaba correos a quién y desde qué dirección IP. La cosa empezaba a ser preocupante, de forma que no me sorprendió demasiado cuando en el fichero “errors” me encontré con perlas del tipo:

[23-Aug-2011 12:36:37 +0000]: IMAP Error: Login failed for tester@example.com from 127.0.0.1. Could not connect to localhost:143: Se produjo un error durante el intento de conexión ya que la parte conectada no respondió adecuadamente tras un periodo de tiempo, o bien se produjo un error en la conexión establecida ya que el host conectado no ha podido responder.


in /var/www/roundcubemail-0.6-beta/program/include/rcube_imap.php on line 199 (POST /roundcubemail-0.6-beta/?_task=login&_action=login)

La configuración del servidor al descubierto… Definitivamente, eso de las opciones por defecto es algo que uno debe comprobar detenidamente. Y leerse bien TODAS las instrucciones de instalación, por si acaso. Menos mal que quienes instalaron todos esos RoundCube que hay sueltos por Internet se leyeron los manuales y los configuraron correctamente. ¿O quizá algunos no?

Episodio 3. Buscando Cubos Redondeados

Era cuestión de comprobarlo. Así que iba a tener que hacer uso de “mis amigos, los buscadores”. Pero no iba a ser fácil, la distribución de RoundCube lleva un fichero “robots.txt” en su directorio raíz con el siguiente contenido:

User-agent: *
Disallow: /

O sea, que cualquier robot que se precie debería ignorar lo que hay ahí. Y eso, en principio, parece razonable. ¿Para qué vamos a querer que Google indexe nuestro servidor de correo y lo que contiene? Pero hay dos problemas: ni todos los robots respetan este tipo de recomendaciones ni siempre son aplicables. Y es que la especificación del fichero “robots.txt” habla de un único fichero para todo el site, ubicado en su directorio raíz. Sin embargo, hay casos, y el servidor que acababa de crear era un ejemplo, en que el webmail está alojado en un subdirectorio. Y los buscadores no comprueban los “robots.txt” de los subdirectorios.

Así que se obtienen bastantes resultados buscando en Google, Bing, etc..., cosas como: "welcome to roundcube" o "bienvenido a roundcube" O, para los más políglotas "benvenuto in roundcube" o incluso "witamy w roundCube"

Muchos de los resultados no pertenecen realmente a webmails sino a sitios que informan sobre las características de otros y muestran sus títulos. Whois, sitios de estadísticas y similares. Aún así, la información que proporcionan puede ser valiosa a la hora de fijar objetivos:

Figura 9: Delatando a otros

Y los robots.txt no protegen contra esto. Para ir acabando, no olvidemos a Shodan con su siempre admirable sencillez. Simplemente buscamos “roundcube” y …

Figura 10: ¿Tú también, Shodan?

Las cookies delatan estos webmails. Y los “robots.txt” tampoco ofrecen demasiada protección frente a Shodan, que no mira el contenido de los documentos. Ya teníamos posiblemente miles de “RoundCubes”. ¿Habría alguno mal configurado?... pues sí, más de alguno

Figura 11: Problemillas

Y… ¿por qué no probar alguna consulta más específica, incluso a riesgo de perderse resultados? Por ejemplo: inurl:"roundcube/logs"


Figura 12: Privacidad, otra vez.

Incluso, buscando, buscando, se encuentra algún documento adjunto:

Figura 12: Esto empieza a ser rayante... ¿verdad?

A estas alturas me di cuenta de que ya me había alejado demasiado de lo que me había hecho instalar aquel servidor con RoundCube: mi deseo de investigar la existencia una posible vulnerabilidad XSS y cómo explotarla de forma efectiva. Así que retomé el tema. Pero esa es otra historia (en realidad, otras dos historias) que habrá que contar otro día. Mientras tanto, creo, hay quien tiene un webmail que revisar…

************************************************************************************************
Jugando con RoundCube (1 de 5)
- Jugando con RoundCube (2 de 5)
Jugando con RoundCube (3 de 5)
Jugando con RoundCube (4 de 5)
Jugando con RoundCube (5 de 5)
************************************************************************************************

No hay comentarios:

Publicar un comentario