Opsview publica informe de vulnerabilidades en sus sistemas

Las fallas podrían permitir ejecución de códigos

Especialistas en¬†hacking √©tico¬†han publicado recientemente y de manera conjunta con el proveedor de software de monitoreo de sistemas empresariales¬†Opsview¬†un reporte de vulnerabilidad. La publicaci√≥n est√° relacionada con cinco¬†vulnerabilidades¬†en el producto Opsview Monitor de la compa√Ī√≠a, que es un dispositivo virtual implementado dentro de la infraestructura de red de una organizaci√≥n.

El producto viene incluido con una consola de administraci√≥n web que monitorea y administra los hosts y sus servicios. En el reporte de vulnerabilidad se se√Īala que ‚ÄúOpsview construye software de monitoreo que ayuda a los desarrolladores a comprender c√≥mo el rendimiento de su infraestructura de TI h√≠brida y sus aplicaciones impactan en la entrega de servicios comerciales‚ÄĚ.

Opsview Monitor admite 3500 complementos de Nagios y comprobaciones de servicio que facilitan el control de todo, desde Docker y VMware hasta Amazon Web Services, Hyper-V y m√°s. M√ļltiples vulnerabilidades fueron encontradas en Opsview Monitor, que permitir√≠an a un atacante con acceso a la consola de administraci√≥n ejecutar comandos en el sistema operativo.

En principio, un equipo de expertos en hacking √©tico notific√≥ a Opsview y solicit√≥ claves GPG para enviar un borrador de informe el 3 de mayo de 2018. Luego de recibir el aviso, Opsview inform√≥ que pudo reproducir todas las vulnerabilidades y plane√≥ lanzar una soluci√≥n para finales de julio, seg√ļn el cronograma del informe. Opsview y los especialistas continuaron en comunicaci√≥n mientras la compa√Ī√≠a trabajaba en las correcciones restantes. Ambas partes acordaron publicar el informe completo de las vulnerabilidades a inicios del mes de septiembre.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, de las vulnerabilidades encontradas, un atacante podría usar dos de ellas (scripts de sitios cruzados reflejados en diagnósticos y scripts de sitios cruzados persistentes en el punto final de configuración) para ejecutar código JavaScript malicioso en el contexto de un usuario legítimo.

La prueba de concepto mostr√≥ que la entrada se almacenar√° sin ning√ļn proceso de desinfecci√≥n y se procesar√° cada vez que la secci√≥n ‚Äúsettings‚ÄĚ sea visitada por el usuario. Es importante se√Īalar que este XSS se almacena autom√°ticamente y se ejecuta s√≥lo en el contexto de la sesi√≥n de la v√≠ctima. Sin embargo, un atacante puede aprovechar esta vulnerabilidad para ganar persistencia y ejecutar el c√≥digo malicioso cada vez que la v√≠ctima acceda a la secci√≥n de configuraci√≥n.

Las tres vulnerabilidades restantes incluyen el abuso de notificaciones que lleva a la ejecución remota de comandos, el abuso de la funcionalidad de la conexión de prueba que lleva a la ejecución de comandos y la modificación de scripts que podrían permitir la escalada de privilegios locales.