Una mala configuración revela los datos de los empleados de Barracuda

Iniciado por wolfbcn, 25 Julio 2013, 13:43 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

El experto de seguridad Ebrahim Hegazy, también conocido como Zigoo0, ha detectado un fallo en los servidores de actualización de Barracuda que permite acceder a todos los credenciales de los trabajadores. Hegazy es un profesional en el sector de seguridad y ya ha reportado, de forma privada, la vulnerabilidad a los responsables de Barracuda.

A la hora de configurar un servidor, se puede establecer una segunda capa de autentificación. Esta segunda autentificación se realiza a través de los ficheros "htaccess" y "htpasswd". Una correcta configuración de estos archivos permiten a los usuarios poder navegar por los directorios sin problema, pero colocando estos ficheros al alcance de todos, ponemos en peligro nuestro servidor, ya que en dichos archivos se guardan los usuarios y las contraseñas de los empleados que puedan acceder al servidor.

Para una correcta administración del servidor, el archivo htpasswd debe ubicarse en un directorio fuera del directorio web, por ejemplo, /credenciales/htpasswd. En el caso de Barracuda, el fichero de encontraba dentro del  mismo directorio web, por lo que podía ser visto por cualquiera.

El archivo "htpasswd" no se encuentra cifrado, por lo que si se obtiene acceso hasta él podremos acceder a todos los credenciales de acceso de manera similar a como le ha ocurrido a Barracuda.

http://www.redeszone.net/wp-content/uploads/2013/07/Barracuda_htpasswd.png

Hegazy reportó la vulnerabilidad dentro de un programa de recompensas por encontrar fallos de seguridad en los sistemas, pero para Barracuda, el programa de recompensas no se encuentra dentro del tipo de "divulgación de contraseñas", por lo que ha quedado fuera de dicho programa.

Los administradores de sistema deben prestar más atención a este tipo de errores ya que puede costar valiosos datos a una empresa. ¿Qué hubiera pasado si en vez de un profesional como Hegazy lo hubiera descubierto un pirata informático que hubieran vendido los datos?

http://www.redeszone.net/2013/07/25/una-mala-configuracion-revela-los-datos-de-los-empleados-de-barracuda/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.