Vulnerabilidad en Pivotal Spring Data REST permite hackear cualquier máquina basada en sus componentes

La vulnerabilidad en Spring Data REST de Pivotal permite a los hackers remotos ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada con sus componentes.

La vulnerabilidad fue rastreada como CVE-2017-8046, que fue descubierta por expertos en seguridad de la información de Semmie / lgtm. Pivotal’s Spring Framework es una plataforma ampliamente utilizada por los equipos de desarrollo para crear aplicaciones web.

pivot

Spring Data REST se basa en los repositorios de Spring Data, permite exponer recursos HTTP impulsados por hipermedios para los agregados contenidos en el modelo. Los componentes incluidos en Spring Data REST son utilizados por los desarrolladores para crear aplicaciones Java que ofrecen API RESTful a los repositorios de datos de Spring subyacentes.

La vulnerabilidad es similar a las debilidades encontradas en Apache Struts que resultaron en la violación de datos de Equifax.

“Los investigadores de seguridad de la información de lgtm.com descubrieron una vulnerabilidad de ejecución remota de código que afecta a varios proyectos en Pivotal Spring”, dice el aviso de seguridad publicado por la compañía que descubrió la falla. “La vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada utilizando Spring Data REST”.

Esta vulnerabilidad vincula la forma en que se usa el propio lenguaje de expresión (SpEL) de Spring en el componente RESTO de datos. La falta de validación de la entrada del usuario permite al atacante ejecutar comandos arbitrarios en cualquier máquina que ejecute una aplicación creada utilizando Spring Data REST.

“Prácticamente todas las aplicaciones web modernas contendrán componentes que se comunicarán a través de interfaces REST, desde sistemas de reserva de viajes en línea, aplicaciones móviles y servicios de banca por Internet”, comenta el profesional en seguridad de la información.

Pivotal emitió un parche de seguridad para una vulnerabilidad a la que se refiere como DATAREST-1127 como parte de su actualización Spring Boot 2.0.

“Las solicitudes maliciosas de PATCH enviadas a los servidores Spring-data-rest pueden usar datos JSON especialmente diseñados para ejecutar código arbitrario de Java”, dice el aviso de seguridad publicado por Pivotal. Los investigadores en seguridad de la información han trabajado en estrecha colaboración con Pivotal para resolver el problema y divulgar públicamente el problema; el objetivo fue brindar a los usuarios de Spring Data REST el tiempo suficiente para actualizar sus aplicaciones.

La explotación de la falla en las API RESTful podría permitir a los piratas informáticos obtener fácilmente el control de los servidores de producción y acceder a información confidencial.

“Esta vulnerabilidad en Spring Data REST es desafortunadamente muy fácil de explotar. Como es común que las API RESTful sean de acceso público, potencialmente permite a los malos actores obtener fácilmente el control de los servidores de producción y obtener datos confidenciales del usuario “, explicó el investigador de seguridad de la información que descubrió el problema.

Los productos y componentes Spring afectados son:

  • Componentes REST de Spring Data, versiones anteriores a 2.5.12, 2.6.7, 3.0RC3

(Artefactos de Maven: spring-data-rest-core, spring-data-rest-webmvc, spring-data-rest-distribution, spring-data-rest-hal-browser)

  • Spring Boot, versiones anteriores a 2.0.0M4

(Cuando se utiliza el componente REST Spring Data incluido: spring-boot-starter-data-rest)

  • Spring Data, versiones anteriores a Kay-RC3

Los profesionales de seguridad de la información recomiendan actualizar a las últimas versiones de los componentes anteriores.