Opsview publica informe de vulnerabilidades en sus sistemas

Las fallas podrían permitir ejecución de códigos

Especialistas en hacking ético han publicado recientemente y de manera conjunta con el proveedor de software de monitoreo de sistemas empresariales Opsview un reporte de vulnerabilidad. La publicación está relacionada con cinco vulnerabilidades en el producto Opsview Monitor de la compañía, que es un dispositivo virtual implementado dentro de la infraestructura de red de una organización.

El producto viene incluido con una consola de administración web que monitorea y administra los hosts y sus servicios. En el reporte de vulnerabilidad se señala que “Opsview construye software de monitoreo que ayuda a los desarrolladores a comprender cómo el rendimiento de su infraestructura de TI híbrida y sus aplicaciones impactan en la entrega de servicios comerciales”.

Opsview Monitor admite 3500 complementos de Nagios y comprobaciones de servicio que facilitan el control de todo, desde Docker y VMware hasta Amazon Web Services, Hyper-V y más. Múltiples vulnerabilidades fueron encontradas en Opsview Monitor, que permitirían a un atacante con acceso a la consola de administración ejecutar comandos en el sistema operativo.

En principio, un equipo de expertos en hacking ético notificó a Opsview y solicitó claves GPG para enviar un borrador de informe el 3 de mayo de 2018. Luego de recibir el aviso, Opsview informó que pudo reproducir todas las vulnerabilidades y planeó lanzar una solución para finales de julio, según el cronograma del informe. Opsview y los especialistas continuaron en comunicación mientras la compañía trabajaba en las correcciones restantes. Ambas partes acordaron publicar el informe completo de las vulnerabilidades a inicios del mes de septiembre.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, de las vulnerabilidades encontradas, un atacante podría usar dos de ellas (scripts de sitios cruzados reflejados en diagnósticos y scripts de sitios cruzados persistentes en el punto final de configuración) para ejecutar código JavaScript malicioso en el contexto de un usuario legítimo.

La prueba de concepto mostró que la entrada se almacenará sin ningún proceso de desinfección y se procesará cada vez que la sección “settings” sea visitada por el usuario. Es importante señalar que este XSS se almacena automáticamente y se ejecuta sólo en el contexto de la sesión de la víctima. Sin embargo, un atacante puede aprovechar esta vulnerabilidad para ganar persistencia y ejecutar el código malicioso cada vez que la víctima acceda a la sección de configuración.

Las tres vulnerabilidades restantes incluyen el abuso de notificaciones que lleva a la ejecución remota de comandos, el abuso de la funcionalidad de la conexión de prueba que lleva a la ejecución de comandos y la modificación de scripts que podrían permitir la escalada de privilegios locales.