Salt Labs, la división de investigación de la empresa de seguridad API Salt Security, ha descubierto y publicado detalles de un ataque de XSS que podría afectar a millones de sitios web en todo el mundo.

No se trata de una vulnerabilidad de producto que se pueda reparar de forma centralizada. Es más bien un problema de implementación entre el código web y una aplicación muy popular: OAuth, utilizada para inicios de sesión sociales. La mayoría de los desarrolladores de sitios web creen que el flagelo de XSS es algo del pasado, resuelto mediante una serie de mitigaciones introducidas a lo largo de los años. Salt demuestra que no es necesariamente así.

Con una menor concentración en los problemas de XSS y una aplicación de inicio de sesión social que se utiliza ampliamente y se adquiere e implementa fácilmente en minutos, los desarrolladores pueden perder de vista el objetivo. Hay una sensación de familiaridad aquí, y la familiaridad genera errores.

No es un problema con OAuth, sino en la implementación de OAuth dentro de los sitios web. Salt Labs descubrió que, a menos que se implemente con cuidado y rigor (y rara vez lo hace), el uso de OAuth puede abrir una nueva ruta XSS que evite las mitigaciones actuales y pueda llevar a la apropiación total de la cuenta.

Salt Labs ha publicado detalles de sus hallazgos y metodologías, concentrándose en solo dos empresas: HotJar y Business Insider. La relevancia de estos dos ejemplos es, en primer lugar, que son empresas importantes con fuertes actitudes de seguridad y, en segundo lugar, que la cantidad de PII potencialmente almacenada por HotJar es inmensa. Si estas dos grandes empresas implementaron mal OAuth, entonces la probabilidad de que sitios web con menos recursos hayan hecho algo similar es inmensa.

(Para ser justos con HotJar, debemos señalar que la empresa tardó solo tres días en solucionar el problema una vez que Salt Labs se lo comunicó).

Aquí nos centraremos en HotJar debido a su saturación en el mercado, la cantidad de datos personales que recopila y su bajo reconocimiento público. "Es similar a Google Analytics, o tal vez un complemento de Google Analytics. Registra una gran cantidad de datos de sesión de usuario para los visitantes de los sitios web que lo utilizan, lo que significa que casi todo el mundo utilizará HotJar en sitios como Adobe, Microsoft, Panasonic, Columbia, Ryanair, Decathlon, T-Mobile, Nintendo y muchos otros nombres importantes". Es seguro decir que millones de sitios web utilizan HotJar.

El propósito de HotJar es recopilar datos estadísticos de los usuarios para sus clientes. "Pero por lo que vemos en HotJar, registra capturas de pantalla y sesiones, y monitorea los clics del teclado y las acciones del mouse. Potencialmente, hay mucha información confidencial almacenada, como nombres, correos electrónicos, direcciones, mensajes privados, detalles bancarios e incluso credenciales, y usted y millones de otros consumidores que tal vez no hayan oído hablar de HotJar ahora dependen de la seguridad de esa empresa para mantener su información privada".

HotJar utiliza OAuth para permitir inicios de sesión sociales. Si el usuario elige "iniciar sesión con Google", HotJar lo redirecciona a Google. Si Google reconoce al supuesto usuario, lo redirecciona de nuevo a HotJar con una URL que contiene un código secreto que se puede leer. Básicamente, el ataque es simplemente un método para falsificar e interceptar ese proceso y obtener secretos de inicio de sesión legítimos.

Para combinar XSS con esta nueva función de inicio de sesión social (OAuth) y lograr una explotación funcional, se utilizam un código JavaScript que inicia un nuevo flujo de inicio de sesión OAuth en una nueva ventana y luego lee el token de esa ventana. Google redirecciona al usuario, pero con los secretos de inicio de sesión en la URL. El código JS lee la URL de la nueva pestaña (esto es posible porque si tienes un XSS en un dominio en una ventana, esta ventana puede llegar a otras ventanas del mismo origen) y extrae las credenciales OAuth de ella.

Básicamente, el "ataque" requiere solo un enlace diseñado a Google (imitando un intento de inicio de sesión social de HotJar pero solicitando un "token" en lugar de una simple respuesta de "código" para evitar que HotJar consuma el código de una sola vez); y un método de ingeniería social para persuadir a la víctima de hacer clic en el enlace y comenzar el ataque (con el código siendo entregado al atacante). Esta es la base del ataque: un enlace falso (pero es uno que parece legítimo), persuadir a la víctima de hacer clic en el enlace y recibir un código de inicio de sesión procesable.

"Una vez que el atacante tiene el código de una víctima, puede iniciar un nuevo flujo de inicio de sesión en HotJar pero reemplazar su código con el código de la víctima, lo que lleva a una toma de control total de la cuenta", informa Salt Labs.

La vulnerabilidad no está en OAuth, sino en la forma en que muchos sitios web implementan OAuth. Una implementación totalmente segura requiere un esfuerzo adicional que la mayoría de los sitios web simplemente no comprenden ni implementan, o simplemente no tienen las habilidades internas para hacerlo.

A partir de sus propias investigaciones, Salt Labs cree que es probable que haya millones de sitios web vulnerables en todo el mundo. La escala es demasiado grande para que la empresa investigue y notifique a todos individualmente. En cambio, Salt Labs decidió publicar sus hallazgos, pero combinándolos con un escáner gratuito que permite a los sitios web de usuarios de OAuth verificar si son vulnerables.

El escáner está disponible aquí.

Proporciona un escaneo gratuito de dominios como un sistema de alerta temprana. Al identificar con anticipación los posibles problemas de implementación de XSS de OAuth, Salt espera que las organizaciones los aborden de manera proactiva antes de que se conviertan en problemas mayores.

Fuente: SecurityNews