Pasos de Jesús

Tecnología con Misión.

Correo de ejercito.mil.co

4 minuto(s) de lectura

El 24.Jun.2009 Vladimir Támara recibió un correo con tema ==OFENSIVA==, sin cuerpo y procedente de ==DPTOE-5@ejercito.mil.co==

A la fecha ==ping ejercito.mil.co== muestra la IP ==201.234.71.183==.

Al examinar las cabeceras incluidas más adelante, se ve que el correo no es una suplantación de dominio, pues la IP de la cual proviene es efectivamente la de ==ejercito.mil.co==

From DPTOE-5@ejercito.mil.co  Tue Jun 23 18:36:07 2009
Received: from microsweb01.impsat.net.co (201.234.71-183.static.impsat.com.co [201.234.71.183] (may be forged))
        by mailgw3.uni-kl.de (8.13.8/8.13.8/Debian-3) with ESMTP id n5NNZga4002735
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
        for <vtamara@informatik.uni-kl.de>; Wed, 24 Jun 2009 01:35:52 +0200
Received: from localhost (microsweb01.impsat.net.co [127.0.0.1])
        by microsweb01.impsat.net.co (8.13.8/8.13.8) with SMTP id n5NNRrDw026489
        for <vtamara@informatik.uni-kl.de>; Tue, 23 Jun 2009 18:27:53 -0500
Date: Tue, 23 Jun 2009 18:27:53 -0500
Message-Id: <200906232327.n5NNRrDw026489@microsweb01.impsat.net.co>
MIME-Version: 1.0
Subject: OFENSIVA
From: DPTOE-5@ejercito.mil.co
To: vtamara <vtamara@informatik.uni-kl.de>
Status: RO

Las dos opciones posibles son:

Un funcionario autorizado envió el correo

Una persona no autorizada logró enviar correo desde el servidor 201.234.71.183

!!OPCIÓN 1. UN FUNCIONARIO AUTORIZADO ENVIÓ EL CORREO

En el primer caso ha resultado prudente enviar correo por reenviadores/proxys para que la ubicación del remitente sea difícil o imposible de rastrear para el atacante, denunciar públicamente y formalmente, exigir explicación y garantías por parte de las autoridades y orar a Dios quien verdaderamente protege.

El 27.Jun.2009 ante la ausencia de respuesta se publica el siguiente correo:

Date: Wed, 24 Jun 2009 07:58:33 -0500                                           
From: Vladimir Támara Patiño <vtamara@pasosdejesus.org>                         
To: atencionciudadanoejc@ejercito.mil.co, DPTOE-5@ejercito.mil.co               
Subject: Correo procedente de ejercito.mil.co                                   
Reply-To: Vladimir Támara Patiño <vtamara@pasosdejesus.org>                     
User-Agent: Mutt/1.5.18 (2008-05-17)                                            

Buenos días en el Señor

Escribo para reportar que hoy recibí un correo procedente de
DPTOE-5@ejercito.mil.co con tema "OFENSIVA"

Para su análisis, publiqué las cabeceras del correo en:

http://seguridad.pasosdejesus.org/?id=Correo+de+ejercito.mil.co

Si se trata de un ingreso no autorizado a su servidor de correo,
agradezco me envíe los registros de las bitácoras que muestren de donde
provino el ingreso.

--                                                                              
Dios, gracias por tu amor infinito.                                             
http://www.primarilypublicdomain.org/letter/                                    
--                                                                              
  Vladimir Támara Patiño.                                                       
  http://www.geocities.com/v-tamara

Por la misma ausencia de respuesta, para comparar entre opción 1 y opción 2 se procede a publicar posibilidades de la segunda opción.

!!OPCIÓN 2. USO NO AUTORIZADO DE 201.234.71.183

Para evitar la segunda opción es importante tener correo-web (webmails) sin vulnerabilidades conocidas. En el caso de ==www.ejercito.mil.co== la herramienta ==nikto== reporta:

- Nikto v2.03/2.04
---------------------------------------------------------------------------
+ Target IP:          201.234.71.183
+ Target Hostname:    www.ejercito.mil.co
+ Target Port:        80
+ Start Time:         2009-06-25 8:11:08
---------------------------------------------------------------------------
+ Server: Apache/2.2.10 (Unix) mod_ssl/2.2.10 OpenSSL/0.9.8i
- /robots.txt - contains 4 ''disallow'' entries which should be manually viewed. (
GET)
+ OSVDB-0: ETag header found on server, inode: 2105479, size: 92, mtime: 0x460a0
b1bf9800
+ mod_ssl/2.2.10 appears to be outdated (current is at least 2.8.31) (may depend
 on server version)
+ mod_ssl/2.2.10 OpenSSL/0.9.8i - mod_ssl 2.8.7 and lower are vulnerable to a re
mote buffer overflow which may allow a remote shell (difficult to exploit). http
://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0082.
+ OSVDB-0: GET /CVS/Entries : CVS Entries file may contain directory listing inf
ormation.
+ OSVDB-0: GET /index.php?module=My_eGallery : My_eGallery prior to 3.1.1.g are 
vulnerable to a remote execution bug via SQL command injection.
+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. Se
e http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details

+ OSVDB-877: TRACE / : TRACE option appears to allow XSS or credential theft. Se
e http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details
+ OSVDB-3092: GET /tools/ : This might be interesting...
+ OSVDB-3093: GET /index.php?base=test%20 : This might be interesting... has bee
n seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?IDAdmin=test : This might be interesting... has bee
n seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?pymembs=admin : This might be interesting... has be
en seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?SqlQuery=test%20 : This might be interesting... has
 been seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?tampon=test%20 : This might be interesting... has b
een seen in web logs from an unknown scanner.
+ OSVDB-3093: GET /index.php?topic=&lt;script&gt;alert(document.cookie)&
amp;lt;/script&gt;%20 : This might be interesting... has been seen in web lo
gs from an unknown scanner.
+ 3577 items checked: 14 item(s) reported on remote host
+ End Time:        2009-06-25 8:16:08 (324 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Test Options: -host www.ejercito.mil.co
---------------------------------------------------------------------------
----

la dirección http://www.ejercito.mil.co//CVS/Entries responde

D/cache////
D/documentacion////
D/js////
D/recursos_user////
D/tools////
D/_administracion////
D/_config////
D/_crontab////
D/_db////
D/_editor////
D/_include////
D/_interfaz////
D/_lib////
D/_templates////
D/_templates_boletin////
/.htaccess/1.1/Fri Nov 11 19:34:16 2005//
/.project/1.1/Thu Sep 14 16:07:03 2006//
/giveprivileges/1.1/Thu Jun 22 14:50:53 2006//
/index.php/1.1/Wed Nov 29 13:52:41 2006//
/info.php/1.1/Tue Feb 28 19:43:19 2006//
/robots.txt/1.1/Tue Aug 16 16:54:52 2005//
/contenido.xml/1.2/Thu Dec 14 00:07:15 2006//
/BannerNavidad.jpg/1.1/Thu Dec 14 22:01:17 2006/-kb/
/foto_noticias.swf/1.1/Wed Dec 20 20:41:50 2006/-kb/
/foto_noticias_ingles.swf/1.1/Wed Dec 20 20:20:16 2006/-kb/
D/recursos_foto_noticia////

http://www.ejercito.mil.co/giveprivileges es

#/bin/sh
chmod 777 -R _administracion/templates_c/ cache/ _templates/Default/templates_c/

http://www.ejercito.mil.co//CVS/Root es

:pserver:aforero@linuxserver:2401/home/cvs

http://www.ejercito.mil.co//CVS/Repository es

ejercito2007

Revisando otros CVS/Entries de otros directorios:

http://www.ejercito.mil.co/documentacion/CVS/Entries
D/bd////

http://www.ejercito.mil.co/documentacion/bd/CVS/Entries
D/MSSQL////
D/MySQL////
D/Oracle////
D/PostgreSQL////
/bd[16-11-2005].dds/1.1/Wed Jan 11 17:51:06 2006/-kb/
/bdmysql-25-07-2006.sql/1.1/Fri Oct  6 15:33:04 2006//
/delbdmysql.sql/1.1/Fri Oct  6 15:30:23 2006//

y así puede continuarse examinando la estructura del CMS, conociendo los nombres de los archivos pueden revisarse y algunos revelan más información por ejemplo: http://www.ejercito.mil.co/documentacion/bd/bdmysql-25-07-2006.sql

!!CONCLUSIÓN EN PROGRESO

  • Se ha podido revelar información privada del manejador de contenidos sobre el que está ==ejercito.mil.co== (que es el mismo de otros sitios desarrollados por ==micrositios.net== como por ejemplo ==www.fac.mil.co==).
  • En el momento está fuera de servicio ==correo.ejercito.mil.co== que es importante para el webmail. Extraña que la IP de ==correo.ejercito.mil.co== es 190.24.146.70 que es diferente a la de ==www.ejercito.mil.co== 201.234.71.183, pues de esta última procedió el correo que ha motivado esta investigación.
  • Siguen siendo plausibles las dos opciones, pues ha sido relativamente fácil encontrar y explotar una vulnerabilidad del CMS de ==www.ejercito.mil.co== y en analogía un atacante externo a ==ejercito.mil.co== pudo haber encontrado alguna vulnerabilidad en el sistema de correo para enviar el correo que motivó esta investigación. Sin embargo hasta el momento no se han encontrado vulnerabilidades en el webmail y se ha identificado que la dirección remisora es del webmaster de ==ejercito.mil.co== (ver http://www.ejercito.mil.co/index.php?idcategoria=225253 ), por lo que no se descarta que el correo haya sido escrito por dicho funcionario.

Puede que también te interese

NSA modifica hardware fabricado en Estados Unidos

menos de 1 minuto(s) de lectura

Según el artículo de “The Guardian”, un informe del 2010 de la NSA revela que han modificado servidores, enrutadores y hardware de red fabricado en Estados U...

Presidente Santos Chuzado

menos de 1 minuto(s) de lectura

La cuenta de correo del presidente Santos fue chuzada, según él más de 1000 correos fueron sacados, por el contexto por las “oficinas alternas” de inteligenc...