Un investigador de seguridad ha descubierto una vulnerabilidad grave en la popular plataforma basada en eventos de código abierto apilartormenta eso podría permitir a los atacantes remotos engañar a los desarrolladores para que, sin saberlo, ejecuten comandos arbitrarios en los servicios objetivo.
StackStorm, también conocido como «IFTTT for Ops», es una poderosa herramienta de automatización basada en eventos para la integración y automatización de servicios y herramientas que permite a los desarrolladores configurar acciones, flujos de trabajo y tareas programadas para realizar algunas operaciones en servidores a gran escala.
Por ejemplo, puede configurar instrucciones (si esto, entonces aquello) en la plataforma Stackstorm para cargar automáticamente archivos de paquetes de red a un servicio de análisis de red basado en la nube, como CloudShark, en eventos en los que su software de seguridad detecta una intrusión o actividad maliciosa en la red. .
Dado que StackStorm ejecuta acciones, que pueden ser cualquier cosa, desde la solicitud HTTP hasta un comando arbitrario, en servidores o servicios remotos que los desarrolladores integran para tareas automatizadas, la plataforma se ejecuta con privilegios bastante altos.
Según los detalles Barak Tawiliun investigador de seguridad de aplicaciones, compartió con The Hacker News antes del lanzamiento, la falla residía en la forma en que la API REST de StackStorm manejaba incorrectamente los encabezados CORS (intercambio de recursos de origen cruzado), lo que eventualmente permitía que los navegadores web realizaran solicitudes entre dominios en nombre de los usuarios/desarrolladores autenticados en StackStorm Web UI.
«Específicamente para qué devolvió la API de StackStorm Acceso-Control-Permitir-Origen. Antes de [StackStorm] 2.10.3 / 2.9.3, si se desconociera el origen de la solicitud, devolveríamos nulo «, dijo StackStorm en una publicación de blog sobre la vulnerabilidad.
«Como mostrará la documentación de Mozilla, y se respaldará el comportamiento del cliente, nulo puede resultar en una solicitud exitosa de un origen desconocido en algunos clientes. Permitiendo la posibilidad de ataques de estilo XSS contra la API de StackStorm».
El encabezado Access-Control-Allow-Origin es fundamental para la seguridad de los recursos que especifica qué dominios pueden acceder a los recursos de un sitio, que si se deja mal configurado en un sitio, podría permitir que otros sitios maliciosos accedan a sus recursos de forma cruzada.
Para explotar esta vulnerabilidad (CVE-2019-9580), un atacante simplemente necesita enviar un enlace creado con fines malintencionados a una víctima, lo que le permite «leer/actualizar/crear acciones y flujos de trabajo, obtener direcciones IP internas y ejecutar un comando en cada máquina a la que puede acceder el agente de StackStorm».
Tawily compartió un video de prueba de concepto con The Hacker News, demostrando cómo la vulnerabilidad en StackStorm podría permitir que un atacante se apodere de cualquier servidor accesible por el agente de StackStorm.
El investigador compartió sus hallazgos con el equipo de StackStorm la semana pasada, que reconoció el problema e inmediatamente lanzó las versiones 2.9.3 y 2.10.3 de StackStorm para abordar la vulnerabilidad en solo dos días.
Se recomienda encarecidamente a los equipos de DevOps que actualicen StackStorm.
