Lo scorso 13 Novembre Stuart Udall ha segnalato una nuova vulnerabilità per il noto ma allo stesso tempo abbandonato osCommerce RC 2.2 che consente di accedere ad alcune sezioni dell’Area Amministrativa senza aver bisogno di alcuna login e password.
Come potrete verificare personalmente tramite questo Proof Of Concept basterà richiamare l’url dell’Area Admin con una particolare sintassi e il gioco è fatto e si potranno visionare gli ordini, i clienti, le email.
Già verso agosto fu scoperta una grave falla nel meccanismo di autenticazione che consentiva, tramite opportune interrogazioni HTTP (http request) di eseguire comandi lato server e, sfruttando alcuni file dell’osCommerce stesso, di uploadare file, shell etc.
Per maggiori informazioni circa questa vulnerabilità andate a questo link.
Per quanto riguarda la falla di cui vi parlo oggi vi illustro di seguito come sfruttarla e quali informazioni si possono ottenere. Per prima cosa è necessario trovare un “sito vittima” e per fare questo ci viene incontro, ancora una volta, Google!
Cercate su Google la seguente stringa:
“Powered by OsCommerce”
(compresa di virgolette)
In questo modo il Motore di Ricerca ci mostrerà solo i siti che contengono esattamente quella frase e, quindi, con molta probabilità siti basati su OsCommerce.
A questo punto aprite qualche sito e verificate se richiamando l’area “admin” vi viene mostrata correttamente la pagina di login.
L’area admin di default è raggiungibile al seguente url:
http://<dominio_con_oscommerce>/admin
Se l’Admin non ha cambiato il nome della cartella vi apparirà una schermata simile a questa.
A questo punto si sfrutterà la vulnerabilità nell’autenticazione per bypassarla semplicemente digitando i seguenti url:
/admin/orders.php/login.php
/admin/mail.php/login.php
/admin/mail.php/login.php?fooled
/admin/mail.php/login.php?action=send_email_to_user
Cosa succede richiamando questi url? (a voi scoprirlo!)
Si accederà in visualizzazione alle funzionalità di quei file e quindi, nell’esempio citato sopra, si potranno leggere gli ordini e vedere i clienti con le relative email.
Questo articolo è solamente un Proof Of Concept e pertanto non deve portare ad alcuna azione malevola.
Per chi utilizza OsCommerce consiglio o di valutare il passaggio a tutt’altro applicativo, visto anche che il progetto è ormai fermo, oppure di andare sul Forum di OsCommerce dove suggeriscono una semplice ma efficace (?) fix al problema.
Link correlati:
OS Commerce authentication bypass by Stuart Udall