Vulnerabilidad de omisión de autenticación en Adobe Experience Manager afecta a 160 mil dispositivos

Un reciente reporte afirma que algunas importantes organizaciones están siendo afectadas por una vulnerabilidad de omisión de autenticación en Adobe Experience Manager (AEM), un sistema de gestión de contenidos (CMS) para sitios web y apps móviles.

La falla fue descubierta por los investigadores de Detectify Crowdsource, y podría ser explotada por actores de amenazas para acceder al CRX Package Manager, empleado para realizar tareas como administración de paquetes en la instalación local de AEM.

Acorde al reporte, si se accede a CRX Package Manager sin pasar por la autenticación en Disparcher, la herramienta de equilibrio de carga y almacenamiento en caché de Adobe Experience Manager. Dispatcher comprueba los permisos de acceso del usuario para una página antes de entregar la página almacenada en caché y es una parte esencial de la mayoría de instalaciones de AEM. Este paso puede omitirse agregando una gran cantidad de caracteres especiales en combinación en una solicitud “%0a ;,,“, por ejemplo.

Si un actor de amenazas es capaz de acceder al CRX Package Manager, se podría cargar un paquete malicioso y luego abusar de él para ejecutar código arbitrario de forma remota y tomar control de los sistemas vulnerables. Los expertos creen que hay más de 30 instancias de la vulnerabilidad de derivación de AEM CRX presentes en toda clase de entornos empresariales actualmente.

Para mitigar el riesgo de explotación, se podría bloquear el acceso público a la consola CRX, negando el acceso a los endpoints :/crx/*, mencionan los expertos.

 Algunas de las organizaciones afectadas incluyen LinkedIn, MasterCard, PlayStation de Sony y McAfee. Este reporte fue presentado a PlayStation en diciembre de 2020 y a MasterCard en marzo de 2021. Adobe también recibió el informe y ya ha emitido un parche de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).