Vulnerabilidad día cero de inyección de argumentos sin corregir en el editor de texto de código abierto Etherpad. No abra ningún archivo desconocido

Especialistas en ciberseguridad reportan la detección de al menos dos vulnerabilidades en Etherpad, un popular editor de texto en línea. Acorde al reporte, las fallas permitirían a los actores de amenazas atacar los servidores de las víctimas de forma remota y extraer información confidencial.

En sus pruebas, los expertos lograron abusar de una falla de scripts entre sitios (XSS) para crear documentos maliciosos que ejecutan código controlado por un atacante en el contexto del navegador del usuario objetivo.

La segunda falla reportada fue descrita como una falla de inyección de argumentos que podría ser abusada por actores de amenazas con acceso administrativo para ejecutar código arbitrario en el servidor a través de la instalación de plugins desde una URL bajo control de los atacantes. Las vulnerabilidades fueron identificadas como CVE-2021-34817 y CVE-2021-34816 respectivamente.

Acorde al reporte, los hackers podrían combinar las fallas para comprometer por completo un servidor de forma remota. Mientras la falla XSS fue corregida con el lanzamiento de Etherpad v1.8.14, la falla de inyección de argumentos no ha sido abordada, aunque los expertos señalan que esta falla es difícil de explotar por sí misma.

Estas fallas fueron reportadas por el investigador Paul Gerste, de la firma SonarSource. En su publicación, el investigador señala que Etherpad tiene más de 250 plugins disponibles, por lo que es un área de investigación considerable.

El procesador es muy popular en la comunidad del código abierto y cuenta con alrededor de 10 mil implementaciones activas. Acorde a Gerste, si bien estas fallas de seguridad son serias cuando se explotan de forma encadenada, hay algunos factores que mitigan considerablemente las posibilidades de explotación.

Un ejemplo de estas condiciones es que las implementaciones con configuraciones predeterminadas son vulnerables: “Un actor de amenazas deberá importar un pad, por lo que si la instancia de Etherpad es de acceso público y no restringe la creación de nuevos pads, será propensa a esta variante de ataque”, menciona Gerste. El experto agregó que los hackers podrían realizar una escalada de privilegios apuntando a otros usuarios.

El investigador concluyó mencionando que los responsables del proyecto respondieron con rapidez a este reporte y comenzaron a trabajar para abordar los problemas de inmediato: “La solución para abordar la falla XSS fue corregida dos días después de notificar a los desarrolladores.”

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).