25 sept 2019

Nuevo Zero Day en phpMyAdmin (Parchea!)

Un investigador acaba de publicar un error de seguridad día cero en uno de los paquetes de software de administración de bases de datos más populares de la web.

El error, hace posible que un atacante elimine un servidor secuestrando la cuenta de un usuario en phpMyAdmin, una herramienta de código abierto de 21 años utilizada para administrar bases de datos MySQL y MariaDB.

La vulnerabilidad es una falsificación de solicitud clásica entre sitios (CSRF). Es un ataque usado durante mucho tiempo, en el que un atacante puede forzar al navegador de un usuario conectado a realizar acciones maliciosas, como cambiar los detalles de su cuenta. Una solicitud del navegador incluye todos los detalles asociados con el sitio, como la cookie de sesión del usuario, lo que dificulta la distinción entre una solicitud real y una falsificada.

El informe sobre la vulnerabilidad dice que un ataque tendría que apuntar a la página de configuración de phpMyAdmin. La lista de CVE le da a esta vulnerabilidad de una calificación de gravedad media.

La vulnerabilidad ha sido descubierta por el investigador de seguridad Manuel García Cárdenas, y podría permitir la ejecución de un ataque CSRF. Identificada como CVE-2019-12922 y de gravedad media, esta vulnerabilidad podría ser aprovechada por un atacante remoto para modificar o borrar cualquier configuración del servidor a través de una dirección web especialmente manipulada de una víctima que tenga una sesión abierta en un panel de administración phpMyAdmin.
Según el informe, un atacante puede crear un enlace falso que contiene la solicitud maliciosa. Menciona que el ataque CSRF es posible debido a un método HTTP utilizado incorrectamente.

El investigador que lo descubrió, Manuel García, nos lo explicó:
Las solicitudes post/get no están validadas. Para evitar los ataques CSRF, se debe implementar un token.

El uso de tokens es una protección común contra los errores de CSRF, como explica OWASP en su guía de prevención de CSRF. En su informe de divulgación completa de la vulnerabilidad, García recomienda que se valide una variable de token en cada llamada, y agrega que otras solicitudes de phpMyAdmin ya lo hacen. Por lo tanto, la llamada realizada desde la página de configuración es una anomalía.

García dijo que informó a phpMyAdmin el 13 de junio y se lo repitió el 16 de julio. Al no aparecer un parche el 13 de septiembre, exactamente tres meses después de la presentación inicial, lo publicó. Por lo que parece haber seguido las pautas de divulgación responsable.

phpMyAdmin había reconocido el error y le había explicado a García que le informaría cuándo solucionara el error. El coordinador del proyecto Isaac Bennetch nos dijo:

Discutimos este informe internamente y pensamos que se incluía mejor como parte de una versión de corrección de errores en lugar de emitir una revisión de seguridad. Consideramos que el vector de ataque es bastante pequeño y el posible daño que podría hacerse es de una naturaleza inconveniente en lugar de un problema de seguridad.


Junto con la noticia, el investigador de seguridad ha publicado una prueba de concepto demostrando cómo se aprovecharía de este error un atacante. La publicación de la vulnerabilidad ha tenido lugar después de que, en junio, Cárdenas se pusiera en contacto con la compañía afectada y 90 días después no el problema no hubiese sido corregido.
El sábado pasado, 21 de septiembre de 2019, se publicó la versión 4.9.1 de phpMyAdmin, por lo que recomendamos actualizar lo antes posible.

Mientras no se instale esta nueva versión, los administradores pueden protegerse cerrando sesión en sus cuentas después de haber completado su trabajo. Es posible que también quieran considerar aislar sus actividades de navegación, tal vez usando un navegador diferente que nunca utilicen para iniciar sesión en otros servicios en línea.

Fuente: Sophos

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!