Vuelven a encontrar una vulnerabilidad en el sitio de Mr. Robot

¿Qué diría Elliot Alderson si supiera que el sitio que promociona sus andanzas en el mundo informático presenta fallas? Poco después de que la cadena USA Network corrigiera una vulnerabilidad XSS en whoismrrobot.com, perteneciente a su serie Mr. Robot, desde el blog CoreNumb Security encontraron la forma inyectarle código SQL.

“No esperaba encontrar ninguna vulnerabilidad pero tenía mi Burp ejecutándose. Estaba esta sección donde podemos suscribir nuestro e-mail para ‘unirnos y ser parte de la revolución’, así que lo hice”, explica el investigador que encontró la falla. Burp es una plataforma para realizar pruebas de seguridad de aplicaciones web.

Según Ars Technica, lo que encontró fue que el código PHP detrás del registro de usuarios era vulnerable a ataques Blind SQL Injection, que consisten en insertar comandos SQL en el texto que se envía a un sitio web. De esta forma, se evaden los mensajes de error que normalmente bloquearían estos comandos.

¿Cómo funciona un ataque de este tipo? Blind SQL Injection se utiliza cuando los mensajes de error ante una posible inyección no existen o han sido alterados por el desarrollador. El atacante intenta insertar consultas que arrojen un valor verdadero, para poder inferir qué tipo de información arroja la consulta.

En este caso, la vulnerabilidad podría haber permitido a un atacante ejecutar comandos SQL contra la base de datos de correos electrónicos de los seguidores de Mr. Robot. El investigador pudo obtener información de ella y del servidor en el que funciona usando SQLmap, una herramienta de pentesting de código abierto que detecta este tipo de vulnerabilidad.

Así es como el sitio de Mr. Robot te invita a dejar tu correo electrónico para unirte a la revolución que encabeza Elliot:

whoismrrobot

NBC Universal, cadena que engloba a USA Network, respondió rápidamente al reporte de esta falla; según CoreNumb Security fue corregida el 14 de mayo, aunque la compañía no lo informó.

Fue hace casi una semana que el alias Zemnmez reportó una vulnerabilidad XSS en el mismo sitio. Según Forbes, podía ser usada para engañar a los usuarios y robarles información, tal como los datos de sus perfiles de Facebook que ingresaban para participar de un quiz de fsociety. La falla fue corregida unas horas después de ser reportada al creador de la serie, Sam Esmail.

Al parecer, con su estética “hacker” emulando una shell de Linux, whoismrrobot.com atrae al público indicado: aquellos que buscan vulnerabilidades y las reportan con buenas intenciones, para que se solucionen y eviten poner en peligro a los usuarios.

Sin embargo, no deja de ser llamativo que el mismo día en que se lanzó el sitio, en busca de promocionar la segunda temporada de Mr. Robot que se estrena el 13 de julio, se encontró la primera vulnerabilidad. Y apenas una semana después, la segunda. ¿Será un llamado de atención o de verdad les viene bien el pentesting de cortesía?

Créditos imagen: Usa Network.com

Autor , ESET

Síguenos