Global Preloader
Vulnerabilidad
(13/Jul/2017) Uber corrige vulnerabilidad de robo de credenciales en su sistema SSO

Uber corrige vulnerabilidad de robo de credenciales en su sistema SSO

Uber ha abordado una vulnerabilidad que permitía a los atacantes robar fichas de sesión y secuestrar las cuentas.

El investigador Arne Swinnen reveló detalles el lunes después de confirmar la semana pasada que el problema había sido resuelto. Swinnen dijo que si se explota a gran escala, un atacante podría robar datos de víctimas alojados en sistemas Uber.

El problema se encontró en una implementación de inicio de sesión único homebrewed que permitió a Swinnen robar las cookies de sesión a través de un subdominio comprometido, saotastic.uber.com.

En su divulgación, Swinnen dijo que el sistema SSO recientemente desplegado de Uber se basa en cookies compartidas entre todos los subdominios de Uber. Encontró una vulnerabilidad que permitía a los atacantes robar las cookies de sesión a través del subdominio comprometido.

La solución personalizada, fue reemplazar a OAUTH como herramienta de inicio de sesión único de Uber para subdominios. Cualquier subdominio que requiera autenticación redirecciona a auth-uber.com y el sistema SSO registra a los usuarios de forma transparente en otros subdominios mediante la emisión de cookies de sesión temporales.

Swinnen escribió que era capaz de evitar algunas contramedidas que Uber había puesto, para evitar el abuso de cualquier subdominio Uber y robar cookies de sesión válidas. Comentó que un atacante necesitaría cero conocimiento previo de la víctima o sus credenciales, con sólo ser atraído a un sitio web bajo el control del atacante y ser autenticado a un subdominio Uber.

Swinnen reveló en privado el 4 de abril, la presentación junto con su informe de errores un número de pasos recomendados para abordar las vulnerabilidades a partir de la eliminación de la pendiente CNAME a la Amazon CloudFront CDN. También recomendó regresar a OAUTH2 o implementar verificaciones de direcciones IP donde Uber comprueba que los usuarios que proporcionan una cookie de sesión compartida a los proveedores de  uber.com que tienen la misma dirección IP externa, lo que evitaría tales ataques de retransmisión.

Uber eliminó el registro DNS CNAME el 6 de junio para el subdominio en cuestión y el pasado viernes implementó la comprobación de direcciones IP.