Vulnerabilidad Crítica En Open Policy Agent (OPA) Compromete Credenciales De Windows: ¡Actualiza Ahora!
Se ha descubierto una vulnerabilidad crítica en el Open Policy Agent (OPA), una herramienta desarrollada por Styra que permite gestionar políticas de autorización en entornos nativos de la nube. Este fallo podría comprometer la seguridad de las aplicaciones que utilizan OPA para controlar el acceso a sus recursos, exponiendo a las organizaciones a ataques potenciales al permitir la manipulación de las políticas de acceso.
El Open Policy Agent, es una solución que facilita la implementación de políticas como código (policy as code), proporcionando un lenguaje y un motor de políticas que permite a las organizaciones definir, administrar y aplicar reglas de acceso de forma centralizada y automatizada en servicios cloud y microservicios. Esta herramienta se ha convertido en un estándar para la gestión de políticas de seguridad en entornos distribuidos.
La vulnerabilidad, identificada como CVE-2024-8260, afecta a todas las versiones de OPA para Windows anteriores a la 0.68.0. El problema surge de una validación incorrecta de las entradas, lo que permite que un atacante pase un recurso SMB arbitrario en lugar de un archivo Rego como argumento para la interfaz de comandos OPA o funciones OPA Go. Esta vulnerabilidad expone a los usuarios a un ataque de autenticación forzada (force-authentication), comprometiendo la seguridad del sistema al permitir que un atacante obtenga credenciales de Windows mediante un proceso de captura y reproducción de autenticación (CWE-294).
La vulnerabilidad afecta tanto a la versión básica de OPA como a la plataforma empresarial de Styra, conocida como Enterprise OPA Platform. Este fallo permite a un atacante eludir las políticas de autorización establecidas, facilitando el acceso no autorizado a los recursos protegidos por OPA. Además, compromete la capacidad de mantener las políticas de acceso debidamente actualizadas y controladas, lo cual es esencial para un enfoque de seguridad de confianza cero (Zero Trust).
La vulnerabilidad tiene una puntuación de 7.3 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) versión 3.1, clasificándose como una amenaza de alta gravedad. Esto subraya la importancia de abordar rápidamente este problema para evitar la posible explotación por actores malintencionados.
Styra ha lanzado un parche para mitigar esta vulnerabilidad y ha recomendado a todos los usuarios actualizar sus sistemas a la versión 0.68.0 o posterior de inmediato para reducir los riesgos de explotación. Además, GitLab ha destacado la importancia de utilizar escaneos de dependencias para verificar que todos los componentes de código abierto utilizados en los proyectos no contengan vulnerabilidades conocidas, como medida preventiva adicional.
Esta situación subraya la importancia de la vigilancia constante en la gestión de la seguridad y la necesidad de contar con procesos de prueba y auditoría para cambios en las políticas de acceso. Además, resalta la necesidad de implementar prácticas de seguridad en la cadena de suministro de software, ya que las vulnerabilidades en las dependencias de código abierto pueden tener un impacto significativo en la seguridad general de las aplicaciones. Es fundamental que las organizaciones adopten herramientas y procesos que les permitan monitorear continuamente sus dependencias y reaccionar rápidamente ante cualquier posible riesgo. Esto incluye no solo la identificación y el parcheo de vulnerabilidades, sino también la evaluación proactiva de las nuevas dependencias que se integran, así como la formación continua del personal en mejores prácticas de seguridad en el desarrollo de software.
Más información:
– Security Flaw in Styra’s OPA Exposes NTLM Hashes to Remote Attackers: https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html
-National Vulnerability Database: https://nvd.nist.gov/
-Open Policy Agent (OPA): https://www.thoughtworks.com/es-es/radar/tools/open-policy-agent-opa
-NVD CVE-2024-8260 Detail : https://nvd.nist.gov/vuln/detail/CVE-2024-8260
Via: unaaldia.hispasec.com