IBM corrige falla que permite a hackers reemplazar su código sin servidor

Esta es la primera vulnerabilidad en una plataforma sin servidor hecha pública

Investigadores de International Business Machines Corporation (IBM) han solucionado una vulnerabilidad crítica presente en sus funciones en la nube que, de ser explotadas, permitirían a los hackers maliciosos reemplazar de manera remota el código sin servidor de la compañía e instalar el de desarrollo propio, reportan especialistas en cursos de protección de datos personales del Instituto Internacional de Seguridad Cibernética.

La vulnerabilidad fue identificada y dada a conocer por investigadores de seguridad de tecnologías de la información en un proveedor israelí de seguridad informática que opera sin servidores. La vulnerabilidad existía en Apache OpenWhisk, una plataforma en la nube de código abierto y sin servidor utilizada por miles de empresas de renombre en todo el mundo, incluida IBM.

“Un hacker que lograra sobreescribir o modificar el código de la función sin servidor podría realizar otras acciones, como la filtración de datos confidenciales durante ejecuciones posteriores, que pueden pertenecer a otros usuarios finales”, mencionan los expertos en cursos de protección de datos personales encargados de reportar el fallo.

Identificada como CVE-2018-11756 y CVE-2018-11757, la vulnerabilidad es la primera divulgada públicamente en una plataforma sin servidor. Aún así hay buenas noticias; no sólo IBM consiguió corregir la vulnerabilidad antes de ser explotada, sino que los investigadores encargados de reportarla también aportaron al equipo de OpenWhisk sugerencias de soluciones para mitigar los riesgos. Como resultado, Apache también ha lanzado un parche, mientras que los investigadores sugieren que los usuarios de Apache Openwhisk deberían actualizar a la última versión disponible a la brevedad.

“Después de recibir y validar los detalles sobre esta falla, el equipo de Apache OpenWhisk revisó e introdujo una solución que mitiga el riesgo para los usuarios”, mencionan los desarrolladores del proyecto Apache OpenWhisk. “Nos gustaría agradecer a los especialistas en cursos de protección de datos personales, pues su contribución ha ayudado a que la plataforma OpenWhisk sea más segura”.

La seguridad de las funciones es un elemento importante de la informática sin servidores, por lo que era primordial, tanto para IBM como para Apache OpenWhisk, que estas fallas fueran resueltas y que los riesgos fueran mitigados.