Por su interés reproducimos el artículo publicado por
vsantivirus.com sobre el grave fallo descubierto en la herramienta de proxy-cache
utilizada por Telefónica.
Por Redacción VSAntivirus
([email protected] )
La versión 5.5.1 de este software es utilizado por la empresa Telefónica de
España, para la implementación de su Proxy Caché, a través del cuál
prácticamente todos los usuarios españoles deben conectarse para poder navegar
por Internet.
Un caché actúa como memoria temporal intermedia para guardar una copia de las
páginas visitadas, de modo que cuando se vuelvan a solicitar (por cualquier
usuario, incluso diferente al que la pidió en primer momento) el proveedor de
Internet ya no necesita solicitarla al servidor remoto que la aloja
originalmente.
La falla se produce cuando se implementa una solicitud especial, la que al ser
enviada por el cliente, puede producir un error al ser procesada en el caché. El
resultado es una página generada dinámicamente por el proxy. Esta página de
error dinámica, es vulnerable a un ataque del tipo XSS (Cross Site Scriptting).
Una falla de este tipo permite a un atacante introducir en el campo de un
formulario o código embebido en una página, un script (perl, php, javascript,
asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar
la ejecución de un código no deseado como scripts, o robar las cookies
almacenadas.
Dos puntos importantes hacen esta falla muy peligrosa.
Primero, es posible robar las cookies de cualquier dominio,
y segundo, el cliente que realiza la solicitud, es incapaz de distinguir que
dominio generó el código, lo que hace vulnerable a cualquier otro cliente que se
conecte. Indirectamente, cualquier servidor cuyos clientes se conecten a
través de dicho proxy y use cookies para gestionar sus sesiones es vulnerable.
Esto convierte a este ataque a uno muy similar al conocido como Man-In-The-Middle.
Un ataque de este tipo (literalmente el hombre del medio), se basa en
interceptar el intercambio de información entre usuarios y servidores legítimos.
"Inktomi Traffic-Server" es usado además de España, en muchos otros países, por
lo que la falla afecta a una enorme cantidad de personas.
Las víctimas potenciales podrían ser los clientes de instituciones bancarias que
acceden vía Internet y quienes realizan algún tipo de comercio electrónico.
La solución debe ser implementada por los proveedores que utilicen el software
vulnerable, pero aún no existe una actualización del mismo.