Cuando hablamos de solucionar vulnerabilidades de seguridad, ya debería estar claro que las palabras solo cuentan cuando van seguidas de acciones.
Si no que pregunten al fabricante de periféricos Logitech, quien la semana pasada fue la última empresa en encontrarse en la vergonzosa lista pública de divulgación de vulnerabilidades de seguridad del equipo Project Zero de Google.
En septiembre, el experto del Project Zero, Tavis Ormandy, instaló Logitech Options para Windows, con la finalidad de personalizar los botones de los teclados y ratones de esa empresa.
Rápidamente se dio cuenta de algunos problemas con el diseño de la aplicación, comenzando por el hecho que:
Abre un servidor websocket en el puerto 10134 al que cualquier web se puede conectar y no tiene ningún tipo de comprobación en origen.
Los websockets simplifican la comunicación entre un cliente y un servidor y, a diferencia de HTTP, hace posible que los servidores envíen datos a los clientes sin que primero se lo pidan, lo que crea riesgos adicionales de seguridad.
La única “autenticación” es que tienes que dar una identificación del proceso que tiene el usuario, pero como no hay un límite de intentos, se puede obtener por fuerza bruta en microsegundos.
Ormandy afirma que esto ofrece a los atacantes una manera de ejecutar un registro de pulsaciones del teclado para tomar control del PC Windows que ejecute ese software.
A los pocos días de contactar a Logitech, Ormandy dice que tuvo una reunión, el 18 de septiembre, para discutir sobre la vulnerabilidad con los ingenieros, quienes le dijeron que entendían el problema.
El 1 de octubre apareció una nueva versión de Options sin el parche, aunque para ser justos, probablemente Logitech no había tenido tiempo suficiente para crearlo. Como cualquiera que siga al Project Zero sabe, trabajan con un período estricto de 90 días de margen para que las empresas puedan solucionar los problemas que encuentran antes de hacerlos públicos.
Teniendo en cuenta el primer email enviado a Logitech, ese período terminó el 11 de diciembre, día en el que hicieron público el problema recomendando que se desactivara Logitech Options hasta que estuviera disponible una actualización.
Claramente, la divulgación hizo que las cosas se movieran ya que el 13 de diciembre, Logitech actualizó Options a la versión 7.00.564 (7.00.554 para Mac). La empresa también dijo que habían solucionado la vulnerabilidad, lo que confirmó Ormandy ese mismo día
Looks like Logitech just released Options 7.00.564, which fixes the WebSocket issues.
— Tavis Ormandy (@taviso) December 13, 2018
Logitech no son los primeros en notar la guillotina de Project Zero sobre su cuello. Este mismo año le tocó a Microsoft quien vio como publicaban una vulnerabilidad en su navegador Edge.
Los tiempos han cambiado. Los proveedores tienen que reaccionar ante las vulnerabilidades mucho más rápido de lo que solían hacer.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario