Global Preloader
Vulnerabilidad
(03/Aug/2017) IBM parcha XSS reflejado en Worklightlight, MobileFirst

IBM parcha XSS reflejado en Worklightlight, MobileFirst

IBM corrigió una vulnerabilidad de secuencias de comandos entre sitios en dos productos el mes pasado que podría haber permitido a un atacante ejecutar código JavaScript malicioso en el navegador de una víctima para robar información confidencial o credenciales de usuario.

La vulnerabilidad (CVE-2017-1500) permaneció en los productos, Worklight y MobileFirst, durante casi un año. Gabriele Gristina, consultora de seguridad de la firma italiana de seguridad de la información Emaze Networks, encontró el error el pasado verano, el 29 de agosto de 2016.

Gristina encontró la vulnerabilidad, técnicamente una XSS reflejada en la API Web del servidor de OAuth, mientras realizaba una prueba de penetración en una aplicación para móviles. La aplicación que estaba auditando no tenía ningún malware, pero se sorprendió cuando se encontró con una vulnerabilidad en el framework mismo.

"Generalmente siempre encuentro muchos problemas de seguridad en cada 'objetivo'", dijo Gristina a Threatpost, "Cuando probé esta aplicación móvil encontré problemas menores y no lo creí, así que comencé a difuminar el framework de seguridad de IBM y después de un rato Encontré la vulnerabilidad XSS".

La aplicación se escribió con MobileFirst, una plataforma de desarrollo de aplicaciones móviles conocida anteriormente como Worklight, hecha por IBM. El producto permite a los desarrolladores crear aplicaciones, ver cómo se ven en diferentes dispositivos y administrar cómo se envían las notificaciones push desde las aplicaciones a los dispositivos.

El problema, dice Gristina, es que el framework no validó correctamente la entrada no confiable en un parámetro GET presente en una función de autorización expuesta por la API web RESTful.

"En detalle, la funcionalidad de cierre de sesión devuelve un HTTP 403 Prohibido si el valor del parámetro 'scope' no está definido en el 'authenticationConfig.xml' y lo refleja sin una validación apropiada en el cuerpo de respuesta", escribió Gristina en un comunicado - acompañado Por una prueba de concepto - el miércoles.

El investigador añade que la explotación de la vulnerabilidad sería relativamente fácil, un atacante sólo tendría que añadir una carga útil al valor original presente en el parámetro GET "scope".

IBM confirmó la vulnerabilidad en una entrada en su servicio X-Force Exchange el lunes y dijo que requeriría un bajo nivel de complejidad y privilegios para explotar. La vulnerabilidad recibió una modesta CVSS 3.0 de 5.4 pero podría permitir que un usuario incrustara código arbitrario en la interfaz web, algo que alteraría la funcionalidad deseada y, a su vez, conduciría a la divulgación de credenciales en una sesión de confianza, advirtió IBM.

La empresa empujó parches para remediar la falla en dos productos afectados, Worklight Enterprise Edition y MobileFirst Platform Foundation, hace dos semanas, según Gristina.