¿Usas un dron DJI? Es posible que tu información sensible esté en peligro

 

 

 

 

 

 

 

 

 

 

Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJIque podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.

El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.

Introducción:

La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:

  • Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
    • Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
    • HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
    • Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
  • XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
    • Reflejado: Consiste en editar los valores que se pasan mediante URL.
    • Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.

Explicación de la vulnerabilidad:

Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.

Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.

Recomendaciones:

A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.

 

Más información:

Report realizado por CheckPoint:
https://research.checkpoint.com/dji-drone-vulnerability/

 

Fallo en Steam permitía generar licencias gratis ilimitadas

El fallo permitía a cualquier usuario autenticado generar claves para juegos sin que la plataforma pudiese darse cuenta

El investigador de seguridad Artem Moskowsky ha descubierto un fallo de seguridad en la plataforma de videojuegos Steam que permitía generar claves de licencia de cualquier videojuego, pudiendo venderse estos en otros portales. Valve, la empresa tras Steam, ha recompensado al descubridor del fallo con 20.000$, de los cuales 5.000$ son por no divulgar el fallo. Steam es una de las plataformas de videojuegos para PC más populares del mercado, teniendo en su haber la gran mayoría de videojuegos disponibles para ordenador.

Aunque no se han hecho públicos los detalles del fallo, según ha revelado Steam en HackerOne, éste se encontraba en la API de la plataforma para la generación de claves por las empresas asociadas, más concretamente en la ruta ‘/partnercdkeys/assignkeys/’. Utilizando un parámetro que no se ha divulgado, era posible generar claves para cualquier juego, con tal de encontrarse autenticado en la plataforma. El investigador, según ha revelado a The Register, se encontró el fallo por casualidad, pudiendo generar 36.000 claves del videojuego Portal 2. Se desconoce si el fallo ha estado siendo utilizado con anterioridad, ya que según Steam no se estaba monitorizando este componente de la API, pudiendo haberse estado utilizando para generar claves para su venta en el mercado gris, un mercado de claves de juegos de dudosa procedencia.

No es la primera vez que el Artem Moskowsky descubre un fallo en la plataforma; ya en julio de este año descubrió un SQL Injection en el fichero ‘report_xml.php’ utilizando el parámetro ‘countryFilter’, que permitía acceder a información confidencial de la base de datos, y por el que fue recompensado con 25.000$ (siendo 5.000$ también un bonus).

Es una buena noticia que empresas como Valve recompensen el trabajo realizado por los investigadores de seguridad, como ha sido el caso de Artem Moskowsky. No obstante, no podemos saber si el fallo ha estado siendo explotado anteriormente, con el impacto económico que ello conlleva. Es por ello, que es importante realizar una auditoría de todo el software en producción, y monitorizar todos los puntos de

Más información:

@mskwsky en Twitter:
https://twitter.com/mskwsky

#391217 Getting all the CD keys of any game:
https://hackerone.com/reports/391217

I found a security hole in Steam that gave me every game’s license keys and all I got was this… oh nice: $20,000:
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

#383127 SQL Injection in report_xml.php through countryFilter parameter:
https://hackerone.com/reports/383127