Dos fallos de seguridad críticos descubiertos en el código abierto CasaOS Los atacantes podrían explotar con éxito el software de la nube personal para lograr la ejecución de código arbitrario y apoderarse de sistemas vulnerables.
Las vulnerabilidades, rastreadas como CVE-2023-37265 y CVE-2023-37266ambos tienen una puntuación CVSS de 9,8 sobre un máximo de 10.
El investigador de seguridad de Sonar, Thomas Chauchefoin, quien descubrió los errores, dicho «permiten a los atacantes eludir los requisitos de autenticación y obtener acceso completo al panel de CasaOS».
Aún más preocupante, el soporte de CasaOS para aplicaciones de terceros podría usarse como arma para ejecutar comandos arbitrarios en el sistema para obtener acceso persistente al dispositivo o acceder a redes internas.
Tras la divulgación responsable el 3 de julio de 2023, las fallas se abordaron en versión 0.4.4 publicado por sus mantenedores IceWhale el 14 de julio de 2023.
Una breve descripción de los dos defectos es la siguiente:
- CVE-2023-37265 – Identificación incorrecta de la dirección IP de origen, lo que permite a atacantes no autenticados ejecutar comandos arbitrarios como root en instancias de CasaOS.
- CVE-2023-37265 – Los atacantes no autenticados pueden crear tokens web JSON arbitrarios (JWT) y acceder a funciones que requieren autenticación y ejecutar comandos arbitrarios como root en instancias de CasaOS
Una consecuencia de la explotación exitosa de las fallas antes mencionadas podría permitir a los atacantes eludir las restricciones de autenticación y obtener privilegios administrativos en instancias vulnerables de CasaOS.
«En general, la identificación de direcciones IP en la capa de aplicación es propensa a riesgos y no se debe confiar en ella para tomar decisiones de seguridad», dijo Chauchefoin.
«Muchos encabezados diferentes pueden transportar esta información (X-Fordered-For, Forwarded, etc.), y las API del lenguaje a veces necesitan interpretar los matices del protocolo HTTP de la misma manera. De manera similar, todos los marcos tienen sus propias peculiaridades y pueden ser complicados. navegar sin conocimientos expertos de estas armas de seguridad comunes».