Skip to content

Demostraciones de panel de control

Muchas empresas de hosting como bien sabréis ponen demos de sus páneles de control en sus páginas. En realidad es una buena idea, captas a más clientes ya que pueden probar qué tal funciona y si se ajusta a lo que ellos están buscando. El problema viene cuando estas empresas no los aseguran correctamente.

En muchas ocasiones también las empresas (sobre todo de programación y diseño de tiendas, remodelación de Joomla, etc) usan versiones para hacer sus diseños y retoques demasiado anticuadas. Se informó a una de ellas, que el osCommerce que tenían para un dominio en cuestión estaba anticuado. Más concretamente del año 2005 (sí, leíste bien). Dicha empresa se percató de que cuando entraban a través de una búsqueda de Google, éste les advertía de que el dominio en cuestión podría infectar su equipo. Vamos, lo típico. Se revisó los archivos y efectivamente habían vulnerado la página y por consiguiente el servidor pero sin llegar a mayores. Se comunica a dicha empresa, encargada del re diseño del osCommerce que tienen una versión instalada vulnerable, sus archivos fueron movidos por seguridad, para que subieran una versión parcheada o no vulnerable de este software para tiendas en internet.

OsCommerce

La respuesta de esta empresa fue que, la empresa que daba hospedaje era una empresa mediocre por mover los archivos sin permiso y que ellos le darían al cliente un servicio correcto, limpio y sin hacer ese tipo de “marranadas”. Bueno, veamos qué tal está esta empresa. La página muy bonita, sobre osCommerce también… todo correcto pero, echemos un vistazo a sus demos del panel de control.

La empresa, tenía como demostración del panel de control (osCommerce) una versión antigua también y echando un vistazo a las vulnerabilidades que se fueron detectando, vemos que hay una reciente, que permite a un atacante remoto subir un archivo a a través del administrador de ficheros, dentro de la sección del administrador, sin estar autentificado. Efectivamente, el problema existe y esta empresa, con su servicio limpio, era totalmente vulnerable de la misma forma que entraron al otro servidor, en la empresa supuestamente sucia y que movió sus archivos por precaución (bien hecho, por cierto). Sin ir más lejos, el servidor vulnerable es el que aloja la página principal de la empresa “limpia”.

Resumiendo, muchas empresas de re diseño web, programación de páginas web a medida basándose en CMS como Joomla, etc; usan versiones antiguas para no adaptar sus diseños a las versiones nuevas y no vulnerables por pura pereza. El problema viene cuando revientan el servidor y tienen que dar explicaciones a sus clientes. En las mismas páginas de estos productos suelen existir demostraciones de este software, bien aseguradas, para que esto no ocurra, entonces: ¿por qué no incluir estos enlaces para probar el panel de control? O mejor aún: ¿por qué no se aseguran adecuadamente para que este tipo de cosas no ocurran? Siempre se ve la paja en el ojo ajeno y no en el propio. Cuando las barbas del vecino veas cortar…

One Comment

  1. Anonimo soy Anonimo soy

    Hola,

    Solo escribía para decir que lo que sucede es que OsCommerce es un coladero no actualizado. Ninguna empresa puede asegurar que OsCommerce es seguro sin modificarlo o firewalizarlo de diversas maneras. Lo que hay que hacer es dejar de usarlo . Hay muchos exploits en uso y a veces ni todas las reglas del mundo pueden evitar problemas si la vulnerabilidad existe en el software.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *