OVH Community, your new community space.

Investigadores españoles descubren una grave vulnerabilidad en la infraestructura OVH


joputi
27/08/2012, 08:35
Chema Alonso empieza a explicar las vulnerabilidades en su blog.

ldelgado
19/08/2012, 12:35
Cita Publicado inicialmente por Lordchip
¿Podrías especificar si es un problema del manager sin dar muchas aclaraciones?
Y...
¿Sabes si en tus pruebas para verificar esas vulnearabilidades te scanearon o te informaron en alguna ocasion de que estabas cometiendo algun tipo de delito o algo por el estilo? ¿o por el contrario ni se enteraron de las pruebas que hiciste para encontrar las vulnerabilidades?
Algunas de las vulnerabilidades estaban presentes en el Manager pero otras eran de servicios externos al mismo.

En ningún momento se detectó e informó de que hubiera comportamientos anormales (aunque también es verdad que es complicado parar ese tipo de ataque).

Cita Publicado inicialmente por Guille
Sin embargo pienso que sólo debe ser vulnerable desde un usuario de OVH, lo cual tampoco es mucho consuelo pero limita bastante el alcance de la brecha de seguridad.
No todas las vulnerabilidades son del Manager, por lo que en todas no es preciso tener un usuario. Aun así, es trivial crear uno fantasma y ejecutar los ataques a través de su sesión.

----

Parece que ya han solucionado las vulnerabilidades (he comprobado una, supongo que las demás también) por lo que a lo largo de esta semana se empezará a publicar los posts en el blog de Chema Alonso (se va a publicar la charla completa por lo que se repartirá en varios posts).

Por cierto, podréis comprobar que las vulnerabilidades no son complejas ni de encontrar ni de explotar y que seguramente lleven años ahí (haciendo más delicado del tema)

Un saludo,
Luis

juanillo
13/08/2012, 09:20
Yo ya he actuado en consecuencia, por lo menos los dominios me los llevo de ovh.
Me parece (a mi) más grave que me den de baja un dominio a que me cancelen un servidor. El servidor lo levantas en cualquier otro sitio con backups ... pero el dominio dado de baja ... manda cohones ...

Guille
09/08/2012, 09:28
Como siempre la seguridad es un estado de ánimo.
¿Cuántos administradores de sistemas duermen tranquilos hasta que por una inyección sql les hackean la página? ¿O cuantos bloggers duermen tranquilos con un timthumb obsoleto...?
Evidentemente ahora que sabemos que el panel de control de OVH presenta vulnerabilidades los clientes de OVH no dormimos tranquilos.
Sin embargo pienso que sólo debe ser vulnerable desde un usuario de OVH, lo cual tampoco es mucho consuelo pero limita bastante el alcance de la brecha de seguridad.
Agradecer a Luis Delgado su investigación y su colaboración.
Ya sabe Mr Klaba a quien puede contratar para la seguridad...

buscavidas
08/08/2012, 11:06
Es de imperiosa necesidad un comunicado OFICIAL aclarando este tema de una vez por todas, por la tranquilidad de muchos de nosotros.

OVH, POR FAVOR, RESPONDA.

davidlig
07/08/2012, 22:42
Si no es grave esto sr FernandoR OVH ¿entonces que és? parece que nuevamente falla la comunicación OVH Hispano-OVH Franchutes.

Si un usuario malintencionado tiene posibilidad de cambiar los contactos de un servidor ya te puedes dar por jodido, imagínate que te reinstala el servidor perdiendo tu información, o peor aún, reinicia el servidor en modo Rescue y te cambia la contraseña de root teniendo acceso a los datos del mismo...

Ahora enserio ¿estás de coña no?

Lordchip
07/08/2012, 20:35
Cita Publicado inicialmente por ldelgado
Las vulnerabilidades notificadas permitían a un usuario malintencionado acceder a los datos de las cuentas de los clientes (información de facturación y servicios contratados), el robo de dominios (cambio de propietario) y la destrucción de dominios, alojamientos compartidos y servidores dedicados.

Como he dicho anteriormente, OVH está actualmente trabajando para solucionar los fallos de seguridad y que éstos puedan ser publicados en las próximas semanas.

Un saludo,
Luis
En todas partes hay bugs y vulnerabilidades, realmente creo que lo importante de esta cuestion es que se estan resolviendo satisfactoriamente. Segun comenta ldelgado, se podría cambiar los dueños de servidores dedicados en consecuencia, se puede obtener la contraseña de los mismos y entrar y hacer lo que hiciera falta.. por lo tanto desde mi punto de vista el problema ES MUY GORDO y OVH debería reconocerlo como ta y digo mas, hasta de alguna forma premiar a ldelgado.

Tengo un par de dudas..
¿Podrías especificar si es un problema del manager sin dar muchas aclaraciones?
Y...
¿Sabes si en tus pruebas para verificar esas vulnearabilidades te scanearon o te informaron en alguna ocasion de que estabas cometiendo algun tipo de delito o algo por el estilo? ¿o por el contrario ni se enteraron de las pruebas que hiciste para encontrar las vulnerabilidades?

jack2
03/08/2012, 23:49
De nuevo gracias Luis por aclarar lo que compromete el o los bugs encontrado por ti.

Cita Publicado inicialmente por FernandoR OVH
hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web.
Fernando, aun querías que la vulnerabilidad sea mayor, intentas minimizar el problema, creo que lo mejor sería que aceptaran el error y valoraran la integridad que ha tenido Luis de ayudarles con detalles y no divulgar más información que generaran uno que otro exploit que comprometieran el trabajo que muchos tenemos con Ustedes.

Fernando, si deseas ayudar no termines metiendo más la pata.

ldelgado
03/08/2012, 22:29
Cita Publicado inicialmente por jack2
Luis gracias tomarte el tiempo para participar en el foro, quisiera que aclararas algo, comprendo que no podían acceder a los datos que mantenemos en nuestros servidores, sin embargo si era/es posible tener acceso a los dominios registrados en el manager y podemos modificar los datos del mismo o talvez cambiar los propietarios de los servidores?
Las vulnerabilidades notificadas permitían a un usuario malintencionado acceder a los datos de las cuentas de los clientes (información de facturación y servicios contratados), el robo de dominios (cambio de propietario) y la destrucción de dominios, alojamientos compartidos y servidores dedicados.

Como he dicho anteriormente, OVH está actualmente trabajando para solucionar los fallos de seguridad y que éstos puedan ser publicados en las próximas semanas.

Un saludo,
Luis

luis_sanz
03/08/2012, 21:41
Cita Publicado inicialmente por FernandoR OVH
hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web.
hemos?
quien, tu y quien mas?

ahora quereis hacer creer que el tonto de Luis, el otro no yo.. se dedica a publicar mentiras, yo si fuera el Luis ese les habria dado un buen escarmiento a OVH para que dejen de fanfarronear e insultar como lo haceis, aunq eso me joda a mi como cliente..

a ti Fernando ya se que grave seria que no te dejaran comer el bocata del almuerzo o se metieran con tu nomina, el resto se nota desde hace tiempo que la ....

jack2
03/08/2012, 19:13
Cita Publicado inicialmente por ldelgado
Efectivamente, en la reunión mantenida el jueves con OVH se han notificado las vulnerabilidades que se hicieron públicas en la DEFCON y confirmado que en ningún momento se accedía a los datos ALOJADOS en los servidores.

"(...)hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web(...)"

Dicho esto, quiero dejar claro que todo lo expuesto en el comunicado de Ontinet es cierto, y por tanto dichas vulnerabilidades si que han de considerarse GRAVES/CRITICAS.

Felicitar a OVH por la gestión del incidente y los tiempos de respuesta (por desgracia no es normal que se actúe de la forma en que lo han hecho ellos). La semana del 13 de agosto se harán públicos todos los detalles técnicos (siempre y cuando ya se hayan solucionado).

Un saludo,
Luis.
Luis gracias tomarte el tiempo para participar en el foro, quisiera que aclararas algo, comprendo que no podían acceder a los datos que mantenemos en nuestros servidores, sin embargo si era/es posible tener acceso a los dominios registrados en el manager y podemos modificar los datos del mismo o talvez cambiar los propietarios de los servidores?

Tope
03/08/2012, 08:46
Me alegra saber que se está solucionando.

Es complicado esto de buscar fallos (o toparte con ellos sin buscarlos) y que la empresa actúe medio bien.

Hace unos dos años Telefónica a mi me dio un buen regalo por un fallo que encontré en el sistema de gestión de averías. Y he seguido colaborando con ellos.

En cambio recuerdo que una vez por error (sí, por error), accedí a la base de datos de alumnos de todo el instituto y podía ver las notas de cada alumno, faltas de asistencia y sus datos y los de sus padres, en lugar de dar las gracias, casi me llevan a juicio.

Lo dicho, agradecer a Luis el haberse pasado por aquí y de paso aprovecho (por si se pasa por el hilo) a preguntar lo mismo que dijo kennysamuerto de que llevo 2 semanas recibiendo avisos de que desde una IP de OVH acceden a mi manager, ponga la contraseña que ponga. (Acceso desde 213.251.189.202 )

kuriana
03/08/2012, 02:25
Cita Publicado inicialmente por ldelgado
Efectivamente, en la reunión mantenida el jueves con OVH se han notificado las vulnerabilidades que se hicieron públicas en la DEFCON y confirmado que en ningún momento se accedía a los datos ALOJADOS en los servidores.

"(...)hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web(...)"

Dicho esto, quiero dejar claro que todo lo expuesto en el comunicado de Ontinet es cierto, y por tanto dichas vulnerabilidades si que han de considerarse GRAVES/CRITICAS.

Felicitar a OVH por la gestión del incidente y los tiempos de respuesta (por desgracia no es normal que se actúe de la forma en que lo han hecho ellos). La semana del 13 de agosto se harán públicos todos los detalles técnicos (siempre y cuando ya se hayan solucionado).

Un saludo,
Luis.
Gracias por descubrir los bugs y ayudar a OVH a solucionarlos en lugar de haberlos vendido y haber provocado un gravísimo problema a todos los clientes.
Eres un crack!

ldelgado
03/08/2012, 00:15
Efectivamente, en la reunión mantenida el jueves con OVH se han notificado las vulnerabilidades que se hicieron públicas en la DEFCON y confirmado que en ningún momento se accedía a los datos ALOJADOS en los servidores.

"(...)hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web(...)"

Dicho esto, quiero dejar claro que todo lo expuesto en el comunicado de Ontinet es cierto, y por tanto dichas vulnerabilidades si que han de considerarse GRAVES/CRITICAS.

Felicitar a OVH por la gestión del incidente y los tiempos de respuesta (por desgracia no es normal que se actúe de la forma en que lo han hecho ellos). La semana del 13 de agosto se harán públicos todos los detalles técnicos (siempre y cuando ya se hayan solucionado).

Un saludo,
Luis.

joputi
02/08/2012, 17:17
¡Gracias!

Estamos a la espera.


Saludos.

FernandoR OVH
02/08/2012, 16:51
Estimados clientes de OVH,

Después de haber mantenido una reunión con la persona responsable del descubrimiento del bug encontrado en nuestro sistema, hemos podido comprobar que el error no tan grave como se ha indicado en diferentes portales web.
Actualmente nuestro equipo de desarrollo y administración están trabajando para la mejora de la seguridad de la infraestructura.

Próximamente ampliaremos la información al respecto.

Fernando.R
OVH Hispano

Demiurgo
01/08/2012, 16:02
Actualmente, la presencia online es esencial para las empresas y cualquier fallo en el servicio puede suponer un grave daño económico. Las empresas confían en proveedores para alojar sus webs o servicios, pero muchas veces no piensan qué podría suceder si algo que no esté bajo control falla.


Investigadores españoles han demostrado en la recientemente celebrada convención de seguridad informática Defcon de Las Vegas cómo se pueden comprometer todos los servicios que una empresa tenga alojados en el proveedor francés OVH (uno de los más importantes de Europa). Según lo mostrado, un atacante podría eliminar y acceder todos los datos que alojados (DNI, emails, infraestructura de la empresa, etc.) junto con su backup, secuestrar un dominio o darlo de baja.


La gravedad del fallo es crítica puesto que afecta a la visibilidad de las empresas en Internet y a todos los datos que se almacenan en este proveedor y, tal y como Luis Delgado (el descubridor de este fallo de seguridad) nos ha comentado, se han descubierto hasta tres 0-days mientras se analizaban los servicios webs de este proveedor.


En resumen, se puede acceder a información de otros usuarios a los que no deberíamos tener acceso, todo ello provocado por la existencia de un servicio interno a través del cual podemos sobrepasar las medidas de seguridad establecidas por defecto. A partir de ahí un atacante es capaz de realizar diversos ataques a la infraestructura de los servidores y a los datos que allí se alojan.


Delgado nos indica que, “a pesar de que nos esforcemos en asegurar nuestros datos o servicios, si el proveedor no cumple con unas medidas de seguridad adecuadas, estamos comprometidos y un atacante puede desconectarnos de Internet”.


Esta información, junto con todos los datos necesarios para ser explotada siguiendo la política de “full disclosure”, la ha hecho pública Luis Delgado acompañado de Chema Alonso en una charla Skytalk (las cuales no son grabadas) en la Defcon. Próximamente, y tras informar al proveedor OVH, Luis publicará más datos en el blog de seguridad Security by Default para que otros investigadores puedan analizarlo.


Interesa destacar la gravedad de este fallo de seguridad descubierto por la cantidad de usuarios afectados y por lo que supone para una empresa perder su presencia online. Asimismo, es necesario recordar que está investigación la han desarrollado completamente un joven investigador español, del que conoceremos un poco más dentro de poco, puesto que tenemos previsto realizarle una entrevista para demostrar que tenemos mucho talento en materia de seguridad informática en España”.

Visto en => http://www.mkm-pi.com/diario-informa...sarial-de-ovh/