Un investigador acaba de publicar un error de seguridad día cero en uno de los paquetes de software de administración de bases de datos más populares de la web.
El error, hace posible que un atacante elimine un servidor secuestrando la cuenta de un usuario en phpMyAdmin, una herramienta de código abierto de 21 años utilizada para administrar bases de datos MySQL y MariaDB.
La vulnerabilidad es una falsificación de solicitud clásica entre sitios (CSRF). Es un ataque usado durante mucho tiempo, en el que un atacante puede forzar al navegador de un usuario conectado a realizar acciones maliciosas, como cambiar los detalles de su cuenta. Una solicitud del navegador incluye todos los detalles asociados con el sitio, como la cookie de sesión del usuario, lo que dificulta la distinción entre una solicitud real y una falsificada.
El informe sobre la vulnerabilidad dice que un ataque tendría que apuntar a la página de configuración de phpMyAdmin. La lista de CVE le da a esta vulnerabilidad de una calificación de gravedad media.
Según el informe, un atacante puede crear un enlace falso que contiene la solicitud maliciosa. Menciona que el ataque CSRF es posible debido a un método HTTP utilizado incorrectamente.
El investigador que lo descubrió, Manuel García, nos lo explicó:
Las solicitudes post/get no están validadas. Para evitar los ataques CSRF, se debe implementar un token.
El uso de tokens es una protección común contra los errores de CSRF, como explica OWASP en su guía de prevención de CSRF. En su informe de divulgación completa de la vulnerabilidad, García recomienda que se valide una variable de token en cada llamada, y agrega que otras solicitudes de phpMyAdmin ya lo hacen. Por lo tanto, la llamada realizada desde la página de configuración es una anomalía.
García dijo que informó a phpMyAdmin el 13 de junio y se lo repitió el 16 de julio. Al no aparecer un parche el 13 de septiembre, exactamente tres meses después de la presentación inicial, lo publicó. Por lo que parece haber seguido las pautas de divulgación responsable.
phpMyAdmin había reconocido el error y le había explicado a García que le informaría cuándo solucionara el error. El coordinador del proyecto Isaac Bennetch nos dijo:
Discutimos este informe internamente y pensamos que se incluía mejor como parte de una versión de corrección de errores en lugar de emitir una revisión de seguridad. Consideramos que el vector de ataque es bastante pequeño y el posible daño que podría hacerse es de una naturaleza inconveniente en lugar de un problema de seguridad.
¿Qué hacer?
El sábado pasado, 21 de septiembre de 2019, se publicó la versión 4.9.1 de phpMyAdmin, por lo que recomendamos actualizar lo antes posible.
Mientras no se instale esta nueva versión, los administradores pueden protegerse cerrando sesión en sus cuentas después de haber completado su trabajo. Es posible que también quieran considerar aislar sus actividades de navegación, tal vez usando un navegador diferente que nunca utilicen para iniciar sesión en otros servicios en línea.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: