Una vulnerabilidad en GitLab pemitiría el robo de la sesión de usuarios
Encontrar vulnerabilidades en los servicios es la tónica en Internet. Por suerte, se ha mejorado mucho, pero aún aparecen problemas con demasiada frecuencia, según expertos en seguridad. El último servicio “señalado” ha sido GitLab. Expertos en seguridad han encontrado un problema de seguridad que permite el robo de las sesiones iniciadas.
Imperva ha sido la empresa de seguridad que ha sido la encargada en levantar la liebre. Explican que el problema radica en el token utilizado para “marcar” las sesiones de los usuarios. Para ser más precisos, el ID que identifica este elemento es demasiado corto. Esto provoca que sea posible la realización de un ataque de fuerza bruta y dar en muy poco tiempo con el ID que corresponde con la sesión de un usuario.
En cualquier otra situación, estaríamos hablando de una información con fecha de caducidad. Sin embargo, en el caso de GitLab no se destruyen. Esto acentúa el problema. Y es que saber el token de un usuario permitiría realizar todas las acciones de las cuentas del usuario y acceder a la información relacionada.
El robo de las cuentas y el robo de sesiones son similares en lo que se refiere a consecuencias tanto para el usuario como para la información almacenada. Acceso a la información, modificación de la misma, compras no autorizadas o cualquier otro tipo de accesiones que varían en función del servicio en el que nos encontremos.
Métodos para proceder al robo de los token de sesión en GitLab
Ya hemos indicado que la realización de un ataque de fuerza bruta sería una de las formas viables que permitirían el robo de esta información. Otra forma de proceder con el robo sería la realización de un ataque Man-in-the-Middle. Teniendo en cuenta que los tokens no caducan y que se asignan de forma permanente a una cuenta, no se trata de una opción complicada.
Otra opción más complicada sería la utilización de inyección de código en la base de datos. Sin embargo, para que este ataque llegue a buen puerto deberíamos contar con un fallo de seguridad en los servidores y una falta de seguridad en las bases de datos que permita el acceso a la información. Sin lugar a dudas, las dos primeras son las más factibles.
Desde el servicio ya han tomado medidas
Desde el momento del reporte, los responsables del servicio se pusieron manos a la obra para modificar este comportamiento, o al menos, buscar la forma de minimizar los daños y “salvar” los muebles de forma temporal. Se han puesto en funcionamiento algunas medidas de verificación de los tokens, aunque aún queda pendiente modificar lo relacionado con su validez. El cambio más significativo es el cambio de los tokens privados por los RSS, algo que debería solventar la inmensa mayoría de los problemas.
También hay que decir que los cambios se introducirán de forma paulatina durante las próximas semanas, controlando que no aparezca ningún tipo de problemas en las cuentas.
Desde GitLab se han pronunciado aunque de forma muy escueta, indicando que los cambios se realizarán a lo largo del mes en el que nos encontramos, introduciendo mejoras de seguridad en las cuentas de aquí al mes de diciembre.
Via: www.redeszone.net