Expertos reportan que una falla en Open Distro, un paquete de software que incluye Kibana y Elasticsearch se vio afectado por una vulnerabilidad que permitía a los actores de amenazas obtener acceso no autorizado a los recursos del servidor y de la red.
La falla, reportada por el investigador Rotem Bar, podría haber permitido a los usuarios con privilegios enumerar los servicios de escucha o interactuar con recursos configurados mediante solicitudes HTTP en la red del servidor Open Distro, en otras palabras, la explotación habría permitido el despliegue de ataques de falsificación de solicitudes del lado del servidor (SSRF).
Open Distro agrega múltiples características nuevas a Elasticsearch, además de facilitar la interacción con la API subyacente. En su investigación, Bar encontró un módulo web que permitía a los usuarios crear un módulo de distribución abierto y definir un webhook personalizable para cualquier recurso en la red. El investigador pudo usar este módulo para crear un webhook que ejecutaba solicitudes fraudulentas y escaneaba la red, accediendo a la API de metadatos y a otros recursos comprometidos.
“Los actores de amenazas podrían llevar el esquema más allá para identificar otras vulnerabilidades en los servicios que se ejecutan en los servidores locales y usarlos para desplegar ataques posteriores”, agrega el experto.
La gravedad de este error depende del entorno de la instalación; por ejemplo, si solo los administradores conocidos pueden acceder a la instancia de Elasticsearch y el servicio está aislado de otros recursos de red, el riesgo es bajo. Por otra parte, si la instancia de Elasticsearch es accesible para todos los usuarios dentro y fuera de la empresa, la gravedad aumenta. Y si no existen medidas para restringir el acceso entre servidores, puede provocar incidentes críticos.
Bar descubrió esta falla durante un proceso de pentesting en los servidores de un cliente que había combinado diferentes soluciones en una gran pila tecnológica. Esta es una práctica común entre muchas organizaciones y empresas que no tienen el talento de software interno y contratan integradores de sistemas para arreglar una solución funcional.
El problema con este enfoque es que la solución final a menudo tiene más complejidad y características de las que el cliente necesita, lo que abre vectores de ataque que los administradores de sistemas no son capaces de prever. Este conjunto de soluciones también requiere procedimientos de configuración, mantenimiento y actualización que a menudo van más allá de las habilidades del cliente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.