Dokeos SQL Injection Vulnerabilty

Para dar por inagurada la sección de seguridad informática, subí un artículo referente a la vulnerabilidad que envié al full-disclosure y que fue publicada en las listas de seguridad hace algunas semanas: Dokeos 1.6.4 <= SQL Injection Vulnerability

Saludos.

Dokeos <= 1.6.4 SQL Injection Vulnerability

Esta vulnerabilidad la descubrí el 2005, cuando me tocó probar varias plataformas e-learning open source, buscando la que mejor se adaptara a las necesidades de un proyecto que al final nunca se llevó a cabo... pero en fin.

En términos generales, Dokeos es un proyecto derivado de una versión antigua plataforma e-learning Claroline. Posee algunas mejoras con respecto a su antecesor y se ha hecho relativamente popular en algunos círculos, especialmente entre académicos de vaga o nula formación técnica e informática.

No obstante, en escencia Dokeos sigue siendo un sistema basado en una plataforma vieja, con módulos basados en proyectos open source obsoletos, como phpbb 1, el módulo de foros que Dokeos útiliza en sus cursos y en el cual encontré la vulnerabilidad del tipo "SQL INJECTION", explotable utilizando la técnica conocida como "blind sql injection" y que permite ejecutar consulas arbitrarias a la base de datos, pudiendo obtener datos confidenciales como el hash del administrador de la plataforma.

La vulnerabilidad fue enviada a las listas de seguridad y el proveedor fue oportunamente informado en su foro. Sin embargo, hace poco me dí cuenta que los "developers elite", que trabajan a sueldo con recursos del gobierno belga, no generaron una nueva versión con el parche de la vuln, sino que parchearon los archivos sobre la actual versión (1.6.4), lo que incurre en un grave error, ya que muchas personas bajaron una versión 1.6.4 no parchada, la cual sigue siendo vulnerable.

Aquí anexo el correspondiente advisory, que fue publicado en la lista full-disclosure:

----------------------------------------------------------------------------------
Dokeos 1.6.4 SQL Injection Vulnerability

Author: Alvaro Olavarria - aolavarria_at_secure.cl

Affected: Dokeos <= 1.6.4 Status: Notified hereby Vendor url: http://www.dokeos.com

Background.

Dokeos is an Open Source elearning and course management web application
translated in 34 languages
and helping more than 1.000 organisations worldwide to manage learning and
collaboration activities.

Vulnerability.

Dokeos was built using Claroline's code; it inherited several of its
features including an old version
of phpBB which is being used as the forum for the courses. There is a
problem in the “viewtopic.php",
where the $topic variable is not correctly sanitized and $forumview is
equal to “threaded", that would
allow an attacker to inject arbitrary code to the application.

Impact

An attacker could use Blind SQL Injection to gain access to privileged
data like the password hashes
for the administrator user and so on.

Proof of Concept

http://localhost/claroline/phpbb/viewtopic.php?cidReq=102&amp;amp;amp;gidReq=&forum=1&0&forumview=threaded&topic=1[blind_sql_inject]

Greetings

Rodrigo Guitierrez
University of Los Lagos in Chile "for lending the required equipment for
testing" >:D
----------------------------------------------------------------------------------

No indexé el exploit para la vulnerabilidad, pero me dí el "gustillo" de demostrarla y lograr privilegios de administración frente a un auditorio de estudiantes y académicos en el 1er Seminario de Seguridad informática de Inacap, Valparaíso, relizado el 3 de Noviembre del 2005, junto al equipo de rgsc.cl

Otras listas de seguridad donde fue publicada la vuln:

http://www.security.nnov.ru/Mdocument158.html

http://www.packetstormsecurity.org/filedesc/Dokeos1.6.4.txt.html

http://secunia.com/advisories/19604/

http://zone-h.org/advisories/read/id=8908

http://evuln.com/dokeos-sql-injection.bq24613.html

http://www.securityfocus.com/bid/17463

http://seclists.org/lists/bugtraq/2006/Apr/0305.html

http://addict3d.org/index.php?page=viewarticle&type=security&ID=6067

Limpiando el polvo de la bitácora...

Después de transcurrido casi un año de la última publicación... he vuelto... y con hartas telas de araña y polvo que limpiar...

Ahora se supone que vienen las razones de la "desaparición". Bueno... de partida, el servidor donde estaba hosteado este dominio sólo se podian subir y actualizar contenidos por medio de sftp. Como este blog esta administrado por blogger.com, y a pesar de que este "se supone" que permite actualizar los blogs por medio de sftp, la "wea" simplemente no funcionaba porque el servidor sshd esta configurado bajo el parámetro "PasswordAuthentication no". Esperé algún tiempo pensando en que arreglarian este problema pero nunca pasó nada.

También existio la posibilidad de pasar este blog a WordPress, pero las constantes fallas de seguridad de este cms me desalentaron bastante.

Ahora que este blog esta hosteado en otro lugar, no debería volver a tener problemas al corto plazo. Desde un año hasta la fecha a corrido bastante agua bajo el rio, así que espero tener el tiempo para compartir algunos de mis trabajos o estudios que hice en este intervalo de tiempo, y publicarlos a la brevedad.

Me despido... Un saludo afectuoso a todos y muchas gracias por el constante apoyo. :)