Grave falla de seguridad encontrada en la biblioteca “jsonwebtoken” utilizada por más de 22 000 proyectos
Se ha revelado una falla de seguridad de alta gravedad en la biblioteca jsonwebtoken (JWT) de código abierto que, si se explota con éxito, podría conducir a la ejecución remota de código en un servidor de destino.
«Al explotar esta vulnerabilidad , los atacantes podrían lograr la ejecución remota de código (RCE) en un servidor que verifica una solicitud de token web JSON (JWT) creada con fines maliciosos», dijo el investigador de la Unidad 42 de Palo Alto Networks, Artur Oleyarsh , en un informe del lunes.
Registrado como CVE-2022–23529 (puntaje CVSS: 7.6), el problema afecta a todas las versiones de la biblioteca, incluida la 8.5.1 y anteriores, y se solucionó en la versión 9.0.0 enviada el 21 de diciembre de 2022. Se informó la falla por la empresa de ciberseguridad el 13 de julio de 2022.
jsonwebtoken, desarrollado y mantenido por Auth0 de Okta, es un módulo de JavaScript que permite a los usuarios decodificar, verificar y generar tokens web JSON como un medio de transmisión segura de información entre dos partes para autorización y autenticación. Tiene más de 10 millones de descargas semanales en el registro de software npm y lo utilizan más de 22 000 proyectos.
Por lo tanto, la capacidad de ejecutar código malicioso en un servidor podría romper las garantías de confidencialidad e integridad, lo que podría permitir que un mal actor sobrescriba archivos arbitrarios en el host y realice cualquier acción de su elección utilizando una clave secreta envenenada.
«Dicho esto, para explotar la vulnerabilidad descrita en esta publicación y controlar el valor secretOrPublicKey , un atacante deberá explotar una falla dentro del proceso de administración de secretos», explicó Oleyarsh.
A medida que el software de código abierto emerge cada vez más como una vía de acceso inicial lucrativa para que los actores de amenazas realicen ataques a la cadena de suministro, es crucial que los usuarios intermedios identifiquen, mitiguen y corrijan de manera proactiva las vulnerabilidades en dichas herramientas.
Lo que empeora las cosas es el hecho de que los ciberdelincuentes se han vuelto mucho más rápidos para explotar las fallas recientemente reveladas, reduciendo drásticamente el tiempo entre el lanzamiento de un parche y la disponibilidad de la explotación. Según Microsoft, solo se necesitan 14 días en promedio para que se detecte un exploit en la naturaleza después de la divulgación pública de un error.
Para combatir este problema del descubrimiento de vulnerabilidades, Google anunció el mes pasado el lanzamiento de OSV-Scanner , una utilidad de código abierto que tiene como objetivo identificar todas las dependencias transitivas de un proyecto y resaltar las deficiencias relevantes que lo afectan.
Fuente y redacción: thehackernews.com