Αρχικήinvestigations Έλληνας ερευνητής εντόπισε αδυναμία στο site ekloges.ypes.gr των Εκλογών 2014!(+Upd)

[ΑΠΟΚΛΕΙΣΤΙΚΟ] Έλληνας ερευνητής εντόπισε αδυναμία στο site ekloges.ypes.gr των Εκλογών 2014!(+Upd)

ekloges.ypes_.gr_

Η ημέρα των αυτοδιοικητικών εκλογών εκτός από τα απρόοπτα κατά γενική ομολογία των εκλογικών αποτελεσμάτων και την πανωλεθρία των exit-polls, φαίνεται ότι έχει  ιδιαίτερο ενδιαφέρον και από πλευράς ασφάλειας συστημάτων και κυρίως αναφορικά με την ασφάλεια της επίσημης ιστοσελίδας ανακοίνωσης των αποτελεσμάτων ekloges.ypes.gr

[Update] Πλέον η αδυναμία έχει επιδιορθωθεί αποδεικνύοντας σαφώς την εγρήγορση των υπευθύνων έστω και για μια χαμηλής σημαντικότητας αδυναμία. Οφείλουμε να αναφέρουμε ότι η αντίδραση ήταν άμεση (εντός ελαχίστων λεπτών) από τους ιθύνοντες ακόμα και για μια αδυναμία XSS που δεν δημιουργεί πρόβλημα ή διαρροή δεδομένων! Σαφώς λοιπόν το σύστημα προστασίας που έχει δομηθεί για την διενέργεια των εκλογών επέδειξε εξαιρετικά ταχύτατα αντανακλαστικά, όπως είχε γίνει και στο παρελθόν με εξίσου μεγάλη επιτυχία, με αποτροπή εκατοντάδων επιθέσεων!

Σύμφωνα με ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που κοινοποιήθηκαν στην συντακτική ομάδα του SecNews, Έλληνας ερευνητής εντόπισε αδυναμίες ασφάλειας στην ιστοσελίδα ανακοίνωσης των αποτελεσμάτων του Υπουργείου Εσωτερικών!

Οι πληροφορίες που απεστάλησαν στην συντακτική ομάδα του SecNews, μερικές ώρες νωρίτερα από Έλληνα ερευνητή ασφάλειας -τα στοιχεία του οποίου παραμένουν στην διάθεση του SecNews- αναφέρουν την ύπαρξη αδυναμιών XSS, που μπορούν να χρησιμοποιηθούν από εξωτερικούς επιτιθέμενους για αλλοίωση των δεδομένων στον browser του χρήστη.

Όπως αναφέρει χαρακτηριστικά ο ερευνητής, κάποιος με εξειδικευμένες γνώσεις μπορεί να αλλοιώσει το περιεχόμενο των session του χρήστη. Επισυνάπτουμε τα Screenshots – αποδείξεις ύπαρξης της αδυναμίας, όπως εμφανίζονται στον browser συντάκτη του SecNews που έλεγξε επιτυχώς την ύπαρξη της αδυναμίας σύμφωνα με τις οδηγίες του ερευνητή.

Οι υποδεικνυόμενες από τον ερευνητή αδυναμίες είναι:

Επιτρέπει εισαγωγή μηνύματος στο session του χρήστη από τον επίδοξο επιτιθέμενο

ekloges.ypes.gr.1

 

Επιτρέπει ανακατεύθυνση του χρήστη προς ιστοσελίδα επιλογής του επιτιθέμενου-hacker (στο παράδειγμά μας google.com)

ekloges.ypes.gr.2

  • Race Condition (επιτυχία 50% περίπου σύμφωνα με τον ερευνητή) με αλλαγή του τίτλου της ιστοσελίδας σε blah

http://ekloges.ypes.gr/may2014/dn/public/index.html#window.addEventListener(‘load’, function(){document.getElementById(‘ext-comp-1015’).innerHTML=’blah’})

Ως γνωστόν οι αδυναμίες XSS είναι χαμηλής επικινδυνότητας χωρίς να είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή αλλά μπορούν να χρησιμοποιηθούν έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως E-shops, Μηχανές αναζήτησης ή ιστοσελίδες που επιτρέπουν αυθεντικοποίηση χρηστών) όπου το Phishing μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.

Η ύπαρξη της εν λόγω αδυναμίας είναι ιδιαίτερα σημαντική λόγω της φύσης της ιστοσελίδας και της ακρίβειας αποτελεσμάτων που απαιτείται να εμφανίζονται προς τους χρήστες της. Συνεπώς στην συγκεκριμένη περίπτωση η αδυναμία XSS κρίνετε ως εξαιρετικά σημαντική για την ακρίβεια των απεικονιζόμενων δεδομένων. Όπως αναφέρει ο ερευνητής

[box_info]

Σίγουρα κάποιος με γνώσεις javascript μπορεί να “παίξει” με το περιεχόμενο που εμφανίζεται στο session του χρήστη.

Η επίτευξη 100% των δοκιμών είναι στο χέρι αυτού που θα ασχοληθεί και των γνώσεων που κατέχει (μιας και οι δικές μου είναι σχετικά μικρές στο συγκεκριμένο αντικείμενο).

[/box_info]

Εκτιμούμε ότι οι διαχειριστές του Υπουργείου Εσωτερικών αλλά και οι υπεύθυνοι διαχειριστές της εταιρείας Singular Logic που διαχειρίζεται το σύστημα αποτελεσμάτων των εκλογών, οφείλουν να επιδιορθώσουν άμεσα την αδυναμία που υποδεικνύει ο ερευνητής, τουλάχιστον μέχρι την ερχόμενη Κυριακή, ημέρα επαναληπτικής διεξαγωγής των εκλογών αλλά και των ευρωεκλογών για την αξιόπιστη και χωρίς πιθανότητα αλλοίωσης στον browser του χρήστη απεικόνιση δεδομένων.

Αξίζει να σημειωθεί ότι η αδυναμία σε καμία περίπτωση δεν επηρεάζει τα αποτελέσματα, τον εξυπηρετητή ή την μετάδοση των αποτελεσμάτων. ΤΟ μόνο που μπορεί να επηρεαστεί είναι η απεικόνιση προς τον χρήστη σε περίπτωση που του έχει αποσταλεί SPAM Phishing message με τους συνδέσμους που αναφέρονται παραπάνω. Οι XSS αδυναμίες χαρακτηρίζονται από τους ειδικούς γενικά  ως αδυναμίες χαμηλής επικινδυνότητας .

 Το SecNews ευχαριστεί τον Έλληνα ερευνητή ασφάλειας για την έγκαιρη και έγκυρη ενημέρωση

[UPDATE1-15.20-19/5/2014] Η αδυναμία, σύμφωνα με νεότερες πληροφορίες χαρακτηρίζετε χαμηλής σημαντικότητας. Δεν δημιουργεί κανένα πρόβλημα στα στοιχεία του εξυπηρετητή, όπως σαφώς αναφέρθηκε και από το post και όποια ζητήματα προκύπτουν έχουν ήδη επιλυθεί και ληφθεί υπόψη κατά τον σχεδιασμό της εφαρμογής.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS