Se revela el hallazgo de una vulnerabilidad crítica en Open-Xchange

Se ha revelado un reporte de seguridad informática en referencia al hallazgo de múltiples vulnerabilidades en el software de productividad Open-Xchange, algunas consideradas de gravedad severa. La mayoría de las fallas de seguridad encontradas permiten a los actores de amenazas realizar falsificación de solicitudes del lado del servidor.

A continuación se presenta de forma breve un reporte de las fallas encontradas, además del método empleado para su mitigación.

CVE-2019-18846: Esta es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF, por sus siglas en inglés) presente en las versiones 7.10.2 y anteriores de One-Xchange. La API de archivos adjuntos para Calendario, Tareas, y demás permite definir referencias a archivos adjuntos de correo electrónico que deben agregarse. Esta referencia no es verificada con un protocolo adecuado y una lista negra de hosts. Los usuarios podrían activar llamadas API que invocan archivos locales o URLs. El contenido proporcionado por estos recursos se agregaría como archivo adjunto. 

 La falla recibió un puntaje de 6.5/10 en la escala del Common Vulnerability Scoring System (CVSS). Los desarrolladores ya han corregido la vulnerabilidad, implementando un protocolo y una lista negra de host para evitar invocar referencias de sistemas de archivos y direcciones locales.

CVE-2019-18846: Una segunda vulnerabilidad SSRF fue detectada en el backend de One-Xchange, presente en las versiones 7.10.2 y anteriores. La función RSS permite a los actores de amenazas agregar fuentes de datos arbitrarias. Para evitar la exposición de datos confidenciales, se implementó una lista negra de host y una lista blanca de protocolos. Debido a un error, la lista negra del host no se verificó en caso de que el protocolo pasara la lista blanca

La explotación de esta falla permitiría realizar un mapeo de las redes internas y servicios potencialmente expuestos. La falla recibió un puntaje de 5.0/10 en la escala CVSS, mencionan los especialistas en seguridad informática.  

CVE-2019-9853: Esta es una falla de falta de escape presente en las versiones 7.10.2 y anteriores que afecta al componente readerengine en Open-Xchange. Las vulnerabilidades existentes en proyectos ascendentes podrían usarse en el contexto de OX App Suite/OX Documents, por lo que los desarrolladores actualizaron las versiones recientes de LibreOffice empleadas por el componente readerengine para prevenir la explotación de fallas no relacionadas directamente con este componente, por lo que esta es en sentido estricto, una medida de precaución.  

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir incidentes de seguridad informática.