Vulnerabilidades críticas en HCL Digital Experience (DX), plataforma para crear y administrar portales web

HCL Digital Experience (DX), una plataforma para la creación y administración de plataformas web, es afectada por múltiples vulnerabilidades que podrían conducir a escenarios de ejecución remota de código (RCE), afirman los investigadores. Aunque el fabricante menciona que no es posible reproducir todas las fallas, sí confirma que este es un riesgo de seguridad real.

A finales de diciembre, HCL Technologies, lanzó un aviso de seguridad con parches detallados para una falla de falsificación de solicitudes del lado del servidor (SSRF), y una vulnerabilidad de expresión regular ineficiente: “La divulgación al momento de actualizar es parte de nuestras políticas”, agrega la compañía.

Shubham Shah, cofundador e investigador de la firma de seguridad Assetnote menciona que su equipo logró el hallazgo del error SSRF debido al descubrimiento de un endpoint que permitía la redirección de solicitudes a una URL arbitraria, pasando de contrabando este dispositivo de redirección en la carga del ataque original. Después de acceder al código fuente, Shah dijo que su equipo encontró algo que parecía extremadamente ingenuo, descrito como un sistema de proxy web implementado de forma predeterminada pero limitado a unos pocos sitios web de confianza.

Uno de esos endpoints confiables, identificado como http://www.redbooks.ibm.com/, ejecutaba Lotus Domino para entregar contenido a los usuarios. Los expertos descubrieron que es posible conectar ?Logout&RedirectTo=http://example.com a cualquier página de Lotus Domino para provocar una redirección de URL a la URL especificada en el parámetro RedirectTo. Como resultado, los actores de amenazas podrían pasar a la red interna y solicitar endpoints de metadatos en la nube para obtener credenciales confidenciales.

Los atacantes también podrían lograr la ejecución de comandos cargando un archivo zip malicioso que, al ser extraído, es vulnerable a la carga de archivos arbitraria: “Si un usuario puede escribir un script ifcfg- <whatever> en /etc/sysconfig/network-scripts o bien ajustar uno existente, entonces es posible la ejecución remota de código”, agrega el experto.

Como método de mitigación, Shah propone a los usuarios modificar todos los archivos proxy-config.xml en su instalación de Websphere Portal para que no se incluyan orígenes en la lista blanca y que eliminen varias carpetas, lo que debería reducir al máximo las posibilidades de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).