top of page

Vulnerabilidad crítica de OAuth en el framework Expo permite secuestro de cuentas



Se ha revelado una vulnerabilidad crítica de seguridad en la implementación de Open Authorization (OAuth) del framework de desarrollo de aplicaciones Expo.io. La deficiencia, identificada con el identificador CVE CVE-2023-28131, tiene una calificación de gravedad de 9.6 en el sistema de puntuación CVSS. La empresa de seguridad en API, Salt Labs, afirmó que el problema hacía que los servicios que utilizaban el framework fueran susceptibles a la filtración de credenciales, las cuales luego podrían ser utilizadas para secuestrar cuentas y robar datos sensibles.


Bajo ciertas circunstancias, un actor malicioso podría haber aprovechado la falla para realizar acciones arbitrarias en nombre de un usuario comprometido en diversas plataformas como Facebook, Google o Twitter. Expo, similar a Electron, es una plataforma de código abierto para el desarrollo de aplicaciones nativas universales que se ejecutan en Android, iOS y la web.


Es importante destacar que, para que el ataque sea exitoso, los sitios y aplicaciones que utilizan Expo deben haber configurado la opción de proxy AuthSession para el inicio de sesión único (SSO) utilizando un proveedor de terceros como Google y Facebook.


En otras palabras, la vulnerabilidad podría aprovecharse para enviar el token secreto asociado a un proveedor de inicio de sesión (por ejemplo, Facebook) a un dominio controlado por un actor malintencionado y utilizarlo para tomar el control de la cuenta de la víctima.


Esto se logra engañando al usuario objetivo para que haga clic en un enlace especialmente diseñado que podría enviarse a través de vectores de ingeniería social tradicionales como correo electrónico, mensajes de SMS o un sitio web sospechoso. Expo, en un aviso, informó que implementó una solución rápida pocas horas después de recibir el informe de manera responsable el 18 de febrero de 2023.


También se recomienda a los usuarios que migren de usar los proxies de la API AuthSession a registrar directamente esquemas de URL de enlace profundo con proveedores de autenticación de terceros para habilitar las funciones de SSO. "La vulnerabilidad habría permitido a un posible atacante engañar a un usuario para que visite un enlace malicioso, inicie sesión en un proveedor de autenticación de terceros y revele inadvertidamente sus credenciales de autenticación de terceros", dijo James Ide de Expo.



"Esto se debió a que auth.expo.io solía almacenar la URL de devolución de llamada de una aplicación antes de que el usuario confirmara explícitamente que confía en la URL de devolución de llamada". El anuncio sigue al descubrimiento de problemas similares de OAuth en Booking.com (y su sitio hermano Kayak.com) que podrían haber sido aprovechados para tomar el control de la cuenta de un usuario, obtener visibilidad completa de sus datos personales o de tarjetas de pago y realizar acciones en nombre de la víctima.


Estos hallazgos también se producen semanas después de que la empresa suiza de ciberseguridad Sonar detallara una vulnerabilidad de recorrido de ruta y una inyección de SQL en el sistema de gestión de contenido empresarial Pimcore (CVE-2023-28438) que un adversario puede aprovechar para ejecutar código PHP arbitrario en el servidor con los permisos del servidor web.


Sonar, en marzo de 2023, también reveló una vulnerabilidad de scripting entre sitios almacenada no autenticada que afecta a las versiones 22.10.0 y anteriores de LibreNMS, que podría ser explotada para lograr la ejecución remota de código cuando el Protocolo Simple de Administración de Red (SNMP) está habilitado.


¿Quieres saber más sobre la seguridad web?


40 visualizaciones0 comentarios

Comments


bottom of page