Se ha revelado una falla de seguridad de alta gravedad en la biblioteca jsonwebtoken (JWT) de código abierto que, si se explota con éxito, podría conducir a la ejecución remota de código en un servidor de destino.
«Al explotar este vulnerabilidadlos atacantes podrían lograr la ejecución remota de código (RCE) en un servidor verificando una solicitud de token web JSON (JWT) creada con fines malintencionados», dijo el investigador de la Unidad 42 de Palo Alto Networks, Artur Oleyarsh. dicho en un informe del lunes.
rastreado como CVE-2022-23529 (puntuación CVSS: 7.6), el problema afecta a todas las versiones de la biblioteca, incluida la 8.5.1 y anteriores, y se ha abordado en versión 9.0.0 enviado el 21 de diciembre de 2022. La falla fue reportada por la compañía de ciberseguridad el 13 de julio de 2022.
jsonwebtoken, que es desarrollado y mantenido by Okta’s Auth0, es un módulo de JavaScript que permite a los usuarios decodificar, verificar y generar tokens web JSON como un medio de transmisión segura de información entre dos partes para autorización y autenticación. ha terminado 10 millones de descargas semanales en el registro de software npm y se utiliza en más de 22 000 proyectos.
Por lo tanto, la capacidad de ejecutar código malicioso en un servidor podría romper las garantías de confidencialidad e integridad, lo que podría permitir que un mal actor sobrescriba archivos arbitrarios en el host y realice cualquier acción de su elección utilizando una clave secreta envenenada.
«Dicho esto, para explotar la vulnerabilidad descrita en esta publicación y controlar el valor secretOrPublicKeyun atacante necesitará explotar una falla dentro del proceso de gestión de secretos», explicó Oleyarsh.
A medida que el software de código abierto emerge cada vez más como una vía de acceso inicial lucrativa para que los actores de amenazas realicen ataques a la cadena de suministro, es crucial que los usuarios intermedios identifiquen, mitiguen y corrijan de manera proactiva las vulnerabilidades en dichas herramientas.
Lo que empeora las cosas es el hecho de que los ciberdelincuentes se han vuelto mucho más rápidos para explotar las fallas recientemente reveladas, reduciendo drásticamente el tiempo entre el lanzamiento de un parche y la disponibilidad de la explotación. Según Microsoft, solo se necesitan 14 días en promedio para que se detecte un exploit en la naturaleza después de la divulgación pública de un error.
Para combatir este problema del descubrimiento de vulnerabilidades, Google anunció el mes pasado el lanzamiento de OSV-Scanner, una utilidad de código abierto que tiene como objetivo identificar todas las dependencias transitivas de un proyecto y resaltar las deficiencias relevantes que lo afectan.