Los académicos encuentran 30 vulnerabilidades de carga de archivos en 23 aplicaciones world wide web, CMS y foros


Equipo KAIST en NDSS

Imagen: KAIST

Mediante el uso de un package de herramientas de prueba automatizado, un equipo de académicos surcoreanos ha descubierto 30 vulnerabilidades en los mecanismos de carga de archivos utilizados por 23 aplicaciones website de código abierto, foros, creadores de tiendas y sistemas de gestión de contenido (CMS).

Cuando está presente en aplicaciones website del mundo true, este tipo de vulnerabilidades permite a los piratas informáticos explotar los formularios de carga de archivos y plantar archivos maliciosos en los servidores de la víctima.

Estos archivos podrían usarse para ejecutar código en un sitio website, debilitar la configuración de seguridad existente o funcionar como puertas traseras, permitiendo a los hackers el control whole sobre un servidor.

Los académicos construyeron su propia herramienta de evaluación.

Todas las vulnerabilidades de carga de archivos se descubrieron usando FUSE, una nueva herramienta automatizada de prueba de penetración creada para descubrir vulnerabilidades UFU (carga de archivos sin restricciones) y UEFU (carga de archivos ejecutables sin restricciones) en aplicaciones PHP.

El equipo de investigación dijo que antes de construir FUSIBLE analizaron errores de carga de archivos pasados ​​e identificaron los ocho patrones y técnicas de explotación más comunes.

FUSE consiste en estos ocho patrones, junto con cinco nuevas variaciones diseñadas por el equipo de investigación (ver M5, M7, M9, M10 y M13 en la tabla a continuación).

uefu-1.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/03/03/ef9b4cc9-46c2-44a8-b0cb-0b546f232fd2/uefu-1.png

Imagen: Lee et al.

Después de que construyeron FUSE, el equipo de investigación dijo que seleccionaron las 33 aplicaciones web más populares, incluyendo foros, CMS, productos empresariales y creadores de tiendas en línea.

El equipo de investigación, compuesto por académicos del Instituto Avanzado de Corea de Ciencia y Tecnología Constitución (KAIST) y el Instituto de Investigación de Electrónica y Telecomunicaciones (ETRI), dijeron que probaron individualmente FUSE con las últimas versiones de esas aplicaciones web (en el momento de las pruebas, en febrero de 2019).

Utilizando una serie de solicitudes automatizadas, los investigadores explotaron los mecanismos de carga de archivos en las 33 aplicaciones net en un intento de plantar varios tipos de archivos maliciosos (PHP, JS, HTML, XHTML, htaccess) dentro de una de las aplicaciones net probadas.

Los investigadores de KAIST y ETRI dijeron que las pruebas descubrieron 30 errores de carga de archivos que afectan a 23 de las 33 aplicaciones que probaron.

uefu-2.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/03/1145717e-9b5c-4827-bd7a-a50ee6722b8c/uefu-2.png

Imagen: Lee et al.

No todos los errores han sido reparados.

Las pruebas tuvieron lugar en febrero de 2019, y la tabla puede contener aplicaciones world-wide-web que han recibido actualizaciones durante el año pasado. Sin embargo, los investigadores de KAIST y ETRI dijeron que no todos los proyectos han reparado los errores que encontraron, y algunos de los proyectos resaltados en amarillo arriba aún pueden contener uno o más errores de carga de archivos.

«Reportamos las 30 vulnerabilidades UEFU a los proveedores correspondientes y obtuvimos 15 CVE de nueve aplicaciones», dijo el equipo de investigación.

«Se han parcheado ocho vulnerabilidades de cinco proveedores. Cinco vulnerabilidades de cuatro proveedores, incluido WordPress, confirmaron que abordarían las vulnerabilidades reportadas», agregaron los investigadores.

«15 errores están esperando la confirmación de los proveedores correspondientes. Dos proveedores se negaron a parchear los errores reportados».

Como explican los investigadores, una razón por la que algunos proveedores no priorizaron los parches, o se negaron a parchar, fue porque 14 de los 30 errores requerían acceso de administrador para explotar, un criterio que muchos proyectos no consideran un riesgo dado que un hacker con acceso de administrador puede secuestrar un servidor a través de funciones legítimas de CMS

Pero si bien los investigadores de KAIST y ETRI enumeraron las aplicaciones website que contenían errores, no enumeraron qué proyectos parchearon y cuáles no, en un intento de prevenir ataques contra aplicaciones website que aún no enviaban un parche.

Los detalles adicionales, incluida la metodología de prueba, están disponibles en el documento técnico del equipo de investigación llamado «FUSIBLE: Encontrar errores de carga de archivos mediante pruebas de penetración, «y disponible para descargar en formato PDF desde aquí y aquí.



Enlace a la noticia initial