En investigador egipcio Ibrahim Raafat ha descubierto dos serias vulnerabilidades en Flickr, la reconocida plataforma de alojamiento de imágenes propiedad de Yahoo. La primera, de inyección SQL, podía ser explotada para luego llevar a cabo un segundo ataque, una ejecución de código remota. Ambas ya han sido solucionadas.
En 2005, la compra de Flickr por parte de Yahoo sacudió a los medios. Sin embargo, durante los años siguientes Yahoo también ha sido noticia por diversas fallas de seguridad, como por ejemplo en diciembre de 2012 cuando sus datos quedaron expuestos a través de inyecciones SQL o en febrero de este año, cuando fue víctima de un ataque coordinado y se comprometieron contraseñas de usuarios.
En cuanto al descubrimiento de Raafat, la historia comenzaría tiempo atrás, cuando Flickr presentó la novedosa funcionalidad de imprimir álbumes de fotos personalizados. En ese entonces, el investigador encontró que algunas variables del método POST, una de las vistas de esta nueva funcionalidad, eran vulnerables a blind SQL injection.
Recientemente, Raafat continuó su investigación, y para su sorpresa se dio cuenta de que la vulnerabilidad seguía al descubierto. Al explotarla, le permite tener acceso a los datos almacenados en las bases de datos de Flickr, un resultado de mucho peso y que conlleva grandes riesgos.
Tener el acceso directo al motor de bases de datos de la plataforma le permitió también la ejecución de código en el servidor, que no poseía los recaudos necesarios para evitarlo. En otras palabras: explotar las vulnerabilidades le permitió tanto obtener acceso a los datos del servidor, como también agregar nuevo contenido, y ejecutar código en él.
Estos tipos de vulnerabilidades tienen gran trascendencia, ya que permiten que el que los explote pueda desde acceder a información sensible hasta realizar prácticamente lo que quiera en el servidor. Luego de que el investigador enviara a Yahoo la prueba de concepto que evidenciaba las vulnerabilidades, la empresa solucionó los problemas en 6 horas.
Tanto para obtener más detalles del procedimiento, como para verlo completo (y el resultado de la explotación, capturado en un video) se puede consultar la entrada escrita por el investigador en su sitio personal.
