Faast: El servicio de Pentesting Persistente y el Reporte Responsable a Apple

Han pasado más de seis años desde que comenzamos a hablar de Pentesting Persistente, Pentesting Continuo, Pentesting By Design, en un momento en el que nadie hablaba de él, y donde muchas veces nos decían que era imposible. Hoy en día es una práctica muy común. Para implementar nuestra visión, nosotros cogimos el core de nuestra querida FOCA, lo transformamos en un entorno Cloud-Native, y creamos el Servicio de Pentesting Persistente Faast en ElevenPaths, del que hemos hablado muchas veces.

Figura 1: Faast: El servicio de Pentesting Persistente y el Reporte Responsable a Apple

Lejos de parar con esta visión, Faast no ha hecho más que crecer, mejorando los procesos e integraciones para ampliar la búsqueda de nuevos recursos, y optimizando los algoritmos de detección de vulnerabilidades y fallos de configuración.

Figura 2: Faast de ElevenPaths

Y aunque la idea fuese concebida en el año 2013, la evolución de la industria no ha hecho más que reforzar este planteamiento, donde los entornos mutan cada vez más rápido gracias al mayor uso de nubes, y al auge de tecnologías basadas en contenedores, cuales facilitan la puesta en producción de nuevos activos. A día de hoy muchas de las soluciones de detección de vulnerabilidades ofrecen este tipo de Pentesting Persistente, por los buenos resultaos que dan.


Figura 3: OWASP 2013 "¿Por qué los cibercriminales siempre ganan?" por Chema Alonso
Esto nos ha permitido reportar a las grandes tecnológicas diferentes vulnerabilidades que hemos encontrado analizando sus activos, como se puede ver en los agradecimientos de Microsoft y los reconocimientos de Apple, entre otras grandes empresas. Esto no es nuevo, ya antes se los daban a nuestra querida FOCA.

Figura 4: Agradecimientos de Apple a Faast Team en ElevenPaths

Pero ¿qué podemos encontrar en un análisis a una de las gandes como Apple? Lo lógico sería pensar que no encontraremos ningún problema ya que estas compañías invierten muchísimos recursos en mantener sus sistemas seguros. Pero se demuestra año tras año, la seguridad 100% no existe. En un scan rápido de Faast a la web WWW de Apple, podemos observar varias cosas que llaman la atención, algo que ya hemos visto muchas veces en el el pasado. Antes os dejamos los artículos del pasado:

- Think Different: Un Hostname sin Domain en los inversores de Apple
- Los certificados digitales que usa Apple en su CDN son de peor calidad
- Algunos backups de Apple son de una extensión "original"
- Una mirada "faast" a Apple buscando al caniche
- Un repaso al pentesting persistente tres años después en ElevenPaths
- Análisis de un HPP (HTTP Parameter Pollution) en Apple
- Apple atacada por la viagra en los servidores de iTunes
- Un HTTP Redirect no te libra de securizar un servidor web
- IIS Short Name Bug en los servidores de apple.com
- La FOCA se merece un iPad
- Un .SVN/Entries en Apple.com descubierto por la FOCA
- Apple se olvida de unas webs del siglo XX en sus servidores

En una reciente revisión, hemos visto aún muchas de las cosas que adolecía en el pasado, como podéis ver en este listado. Y ahora vamos con el presente

• Software desactualizado: en este caso un apache que en esa versión concreta dispone de ciertas debilidades, incluso detectadas este mismo año como se puede apreciar en los CVE asociados.

Figura 5: Versiones de Apache desactualizadas con CVEs

• Cabecera ‘Cross Origin’ demasiado permisiva: No es buena práctica aplicar wildcard (*) a este tipo de elementos, mejor mantener un listado de dominios permitidos.

Figura 6: Cabecera Cross Origin configurada con *

• Fichero dwsync.xml: clásico fichero que genera la aplicación Dreamweaver y no debería incluirse en un despliegue de la web. Nos puede proporcionar rutas o nombres de fichero que no deberían estar ahí.

Figura 7: Fichero DWSync.xml

• Target _blank phishing: en las etiquetas HTML <a> con el atributo target=’_blank’ no se está incluyendo la propiedad rel=’noopener’ (o noreferrer), la cual ya se comentó en este artículo que escribo Chema Alonso.

Figura 8: URLs con enlaces si rel='noopener'

• Metadatos: Una gran cantidad de metadatos, que revelan usuarios. Algunos de estos trabajadores son internos, y otros de compañías que prestan servicio a Apple. Además de diferente software con el que se crean estos documentos, que van desde las aplicaciones ofimáticas clásicas, a versiones concretas de librerías para la conversión de documentos a formato PDF.

Figura 9: Metadatos, Metadatos, Metadatos. Lista de usuarios.

• Cross-site scripting (XSS): Una vulnerabilidad de las más clásicas en entornos web. Se encuentra en el Top 10 de OWASP desde hace muchos años, y permite a cualquier visitante del sitio web ejecutar código Javascript inyectando en la propia URL del sitio web, o en alguno de sus campos de formularios.

Figura 10: XSS Reportado, corregido y agradecido por Apple (Figura 4)

Como es costumbre hemos vuelto a hacer una ‘Revelación Responsable’ de estos problemas, algunos considerados vulnerabilidades, y otros como relajación de la configuración. Apple lo ha recibido de buen grado y nos ha agradecido la colaboración para mantener sus servicios más seguros.

Figura 11: Client-Side Attacks: XSS, CSSP, SSRF, XSPA, SSJS

Por ahora tiene varias vulnerabilidades que está pendiente de corregir, así que os contaremos más de ellas cuando las hayan corregido. Os recomiendo el libro de Client-Side Attacks de Enrique Rando, que explica bien cómo descubrir y explotar estas vulnerabilidades.

Autor: Ioseba Palop, Senior Software Architect Faast team (Contactar con Ioseba Palop)