Falha grave encontrada nos sistemas Credicard

Neste post descrevemos como descobrimos uma falha de configuração muito importante para administradores de sistemas e analistas de segurança da informação, a falha reportada neste post foi informada as equipes de segurança da informação da empresa Credicard e já foi reparada.

Certa vez um de nossos analistas estava a solicitar um cartão de crédito para a empresa Credicard, alguns dias após o preenchimento do cadastro solicitado para avaliação, o nosso consultor recebeu um e-mail resposta da empresa com alguns dados por confirmar ou inválidos, o mesmo consultor resolveu acessar novamente o website da empresa e refazer o cadastro, só que desta vez iria verificar com cautela para onde seus dados iriam ser enviados, que servidor e qual era a aplicação utilizada pela empresa, pois estava com receio de ter caído em algum golpe.

Ao notar a presença de um servidor externo ao domínio credicard.com.br na parte do cadastro, o consultor resolveu investigar, pois poderia se tratar de uma fraude efetuada a partir do website da empresa Credicard por cibercriminosos, conforme é possível notar nas imagens a seguir.

CadastroInteresse2

 

Por motivos de segurança não divulgamos o nome do servidor por completo, somente do website da empresa Credicard, este link foi visto ao passar o mouse em cima do botão “Peça já o seu”, ao acessar a aplicação notamos a mesma aberta em um pop-up, porém nosso analista resolveu acessar o endereço através de uma aba comum do browser, conforme veremos na imagem a seguir.

App2

 

Mais uma vez informamos que por motivos de segurança não divulgamos o domínio por completo que hospeda a aplicação vulnerável, identificamos a partir do Favicon, o servidor JBoss ao qual hospeda uma aplicação java de cadastro da empresa, muitos clientes que utilizam o sistema JBoss acabam por esquecer um dos painéis principais do JBoss o JMX-Console, esse painel é responsável por grande parte dos testes de intrusão bem sucedidos em nossos clientes, pois muitas vezes o JBoss é executado como root(super usuário).

Ao saber dessas informações nosso analista apenas acessou a página do JMX-Console, ao qual estava acessível, podendo ser de grande serventia a pessoas com más intensões, verificamos o acesso a esse painel pela seguinte imagem.

FalhaCritica1

 

Ao ver este painel do JBoss, nosso analista começou a procurar os contatos responsáveis pelos sistemas de segurança da empresa Credicard CitiBank Group para informar a visibilidade e a possibilidade de invasão dos sistemas da empresa, após algumas tentativas entre ligações e e-mail’s enviados, foi possível conseguir o endereço de e-mail para enviar as evidências da falha de configuração.

A XLabs resolveu expor a público este caso não para expor a empresa Credicard, entendemos que falhas são comuns em sistemas cada vez mais complexos e estamos aptos a auxiliar e prestar serviços para pequenas e grandes empresas.

A falha foi reportada a empresa Credicard e a mesma já está corrigida.

Agradecimentos a equipe de segurança da empresa Credicard.