Los responsables del servidor web NGINX publicaron una serie de actualizaciones de seguridad para corregir una vulnerabilidad día cero en su Protocolo Ligero de Acceso a Directorios (LDAP). La implementación de referencia de NGINX LDAP utiliza LDAP para autenticar a los usuarios de las aplicaciones que son proxy del servidor web de NGINX.
Los desarrolladores especificaron que NGINX Open Source y NGINX Plus no se ven afectados por los problemas detectados.
“Se han abordado vulnerabilidades de seguridad en la implementación de referencia de NGINX LDAP. Hemos determinado que solo la implementación de referencia se ve afectada. NGINX Open Source y NGINX Plus no se ven afectados por sí mismos, y no es necesaria ninguna acción correctiva”, agrega el reporte.
Según el reporte, la implementación de referencia LDAP se ve afectada por las vulnerabilidades cuando se presenta una de las siguientes condiciones:
- Los parámetros de la línea de comandos se utilizan para configurar el demonio de Python
- Hay parámetros de configuración opcionales sin usar
- La autenticación LDAP depende de la pertenencia a un grupo específico
Los actores de amenazas podrían anular los parámetros de configuración enviando encabezados de solicitud HTTP especialmente diseñados: “El daemon de Python no desinfecta sus entradas. En consecuencia, un atacante puede usar un encabezado de solicitud especialmente diseñado para evadir la verificación de membresía del grupo (memberOf) y forzar la autenticación LDAP para que tenga éxito incluso si el usuario que se está autenticando no pertenece a los grupos requeridos”.
Como mitigación, los desarrolladores recomiendan verificar que el daemon back-end que presenta el formulario de inicio de sesión elimine los caracteres especiales del campo de nombre de usuario. En particular, se deben eliminar los paréntesis de apertura y cierre – ( ) – y el signo de igual (=).También se recomienda a los usuarios eliminar los caracteres especiales del campo de nombre de usuario en el formulario de inicio de sesión y actualizar los parámetros de configuración apropiados con un valor vacío (“”).
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.