🏆 1er lugar en leaderboard CGII

El CGII es el símil del CSIRT Gob chileno, con la diferencia de que nuestros vecinos implementaron un VDP con leaderboard, algo extremadamente útil a la hora de reconocer y agradecer los aportes de la comunidad.

En mi caso, logré robar el primer lugar, pero como dicen por ahí, lo difícil no es llegar sino que mantenerse, por lo que estaré expectante de ver quién será el próximo en hacer lo mismo que yo.

¡Mucho éxito a quien se motive! 🤟🇨🇱

Acerca del programa VDP del CGII

Obviamente, no puedo divulgar información sobre las entidades afectadas, pero sí puedo referenciar algunos reportes que al menos para mí son los más interesantes e importantes.

En vista de que en Chile ya no están las condiciones legales para aportar de forma proactiva al CSIRT, recomiendo sin lugar a dudas, participar de forma proactiva, ética y responsable, en este programa.

A diferencia de las plataformas de bug bounty, el triage es realizado de la misma forma que en cualquier otro programa VDP autogestionado, es decir, por correo, y la interacción es bastante sencilla, pero cubre todos los tópicos necesarios: se requiere una PoC con evidencias y pasos para la reproducción, incluye gestión de duplicados, identificación de bugs que no aplican, etc.

Un tema importante a la hora de participar en el programa, es la asignación de puntos por cada vulnerabilidad válida que haya pasado el triage, ya que forma parte de una gestión interna y privada del CGII, por lo que no se obtiene siempre el mismo puntaje para vulnerabilidades aparentemente similares.

Cross-site Scripting (XSS) – x100

La vieja confiable. Encontré casi 100 XSS, basados en CVE y en explotación manual.

Algunas referencias:

  • CVE-2022-29455 x14
  • CVE-2017-18536 x3
  • CVE-2012-4768 x3
  • CVE-2021-29625 x3
  • Y un largo etcétera.

Server Side Request Forgery (SSRF) – x7

De igual manera, encontré vulnerabilidades SSRF que me permitieron escanear y exfiltrar información desde entornos de red privados de forma remota.

Las referencias:

  • CVE-2021-40438 x3
  • CVE-2021-40822 x2
  • CVE-2022-0165 x1
  • CVE-2014-4210 x1

Remote Code Execution (RCE) – x10

Encontré 10 vulnerabilidades RCE que me permitieron tomar control total de los servidores afectados, mediante los cuales logré tener acceso a infraestructura y entornos de red Estatal, Gitlab server con repositorios privados (desarrollo de software gubernamental), servidor de correos de altos cargos del Poder Ejecutivo, así como otros relacionados a importantes ministerios del Estado boliviano.

Las referencias:

  • RCE basado en SQL Injection – x2
  • CVE-2017-12149 – x1
  • CVE-2021-44228 – x1
  • CVE-2017-3506 – x1
  • CVE-2021-34473 – x3
  • CVE-2019-9670 – x1
  • CVE-2021-22205 – x1

Vulnerabilidad Zero-day

En el camino, identifiqué un bypass de autenticación en un reconocido framework de desarrollo, que aún no registro bajo CVE, y que por ahora no tengo ganas de registrar. 😅

Conclusiones y recomendaciones

Reportar al CGII me permitió obtener una perspectiva más amplia, ya que todo fue parte de un proceso investigativo propio, en el cual programé mis propias herramientas de automatización, y la orquestación de herramientas de terceros.

También, el proceso manual juega, como siempre, un rol primordial, sobre todo a la hora de generar las PoC para que fueran aprobadas por el triage del CGII.

Esta misma experiencia ha provocado en mi una motivación que había perdido con el tiempo: hacking, simplemente, por diversión, aportar, y seguir aprendiendo.

Todos los reportes fueron realizados de manera 100% ética, y obviamente tomé evidencias que quedarán en mi baúl de los recuerdos. 🤣