Clicky

Defectos críticos reportados en Etherpad: una popular alternativa de Google Docs

Categoría: Seguridad
Visitas: 815
Etherpad

Etherpad es una interfaz colaborativa en tiempo real

Los investigadores de ciberseguridad han revelado nuevas vulnerabilidades de seguridad en el editor de texto Etherpad (versión 1.8.13) que podrían permitir a los atacantes secuestrar cuentas de administrador, ejecutar comandos del sistema e incluso robar documentos confidenciales.

Las dos fallas, rastreadas como CVE-2021-34816 y CVE-2021-34817, fueron descubiertas e informadas el 4 de junio por investigadores de SonarSource, luego de lo cual se enviaron parches para esta última en la versión 1.8.14 de Etherpad lanzada el 4 de julio.

Etherpad es una interfaz colaborativa en tiempo real que permite que varios autores editen simultáneamente un documento. Es una alternativa de código abierto a Google Docs que puede alojarse en tus propios servidores.

"La vulnerabilidad XSS permite a los atacantes apoderarse de los usuarios de Etherpad, incluidos los administradores. Esto puede usarse para robar o manipular datos confidenciales", dijo en un informe el investigador de vulnerabilidades de SonarSource, Paul Gerste.

Etherpad chat

"La vulnerabilidad de inyección de argumentos permite a los atacantes ejecutar código arbitrario en el servidor, lo que les permitiría robar, modificar o eliminar todos los datos, o apuntar a otros sistemas internos que son accesibles desde el servidor".

Específicamente, la vulnerabilidad XSS (CVE-2021-34817) reside en la función de chat que ofrece Etherpad, con la propiedad "userId" de un mensaje de chat - es decir, un identificador único asociado con el autor de un documento - renderizado en el front-end sin escapar correctamente los caracteres especiales, lo que permite que un adversario inserte una carga útil de JavaScript maliciosa en el historial de chat y realice acciones como usuario víctima.

CVE-2021-34816, por otro lado, se relaciona con cómo Etherpad administra los plugins, en donde el nombre del paquete que se instalará a través del comando "npm install" no se desinfecta adecuadamente, conduciendo a un escenario que podría permitir a un atacante "especificar un paquete malicioso del repositorio de NPM o simplemente usar una URL que apunte a un paquete en el servidor del atacante".

Etherpad instalador

La consecuencia de la explotación exitosa de CVE-2021-34816 es la ejecución de código arbitrario y comandos del sistema, comprometiendo así por completo la instancia de Etherpad y sus datos.

De manera preocupante, un atacante puede encadenar primero ambas vulnerabilidades para hacerse cargo de una cuenta de administrador y luego usar esos privilegios para obtener un shell y ejecutar código malicioso en el servidor.

"Se corrigió una vulnerabilidad XSS persistente en el componente Chat", dijeron los mantenedores de Etherpad en las notas de la versión 1.8.14. "En caso de que no pueda actualizar a 1.8.14 directamente, le recomendamos encarecidamente seleccionar [confirmar] a796811". Vale la pena señalar que la vulnerabilidad de la inyección de argumentos permanece sin parches, aunque los investigadores señalan que la falla es "significativamente más difícil de explotar por sí sola".

La investigación destaca "lo importante que es la validación y desinfección de datos para evitar tales fallas durante el desarrollo", dijo Gerste, y agregó que "el error de codificación más pequeño puede ser el primer trampolín para que un atacante lance más ataques contra el software".

Se recomienda encarecidamente a los usuarios de Etherpad que actualicen sus instalaciones a la versión 1.8.14 para mitigar el riesgo asociado con la falla.