La organización CISA ha emitido una advertencia sobre la explotación activa en el sistema SharePoint. Existe una vulnerabilidad crítica, CVE-2023-29357, cuya descripción técnica fue publicada el año pasado. El principal problema radica en la capacidad de evadir la autenticación en SharePoint a través de un token JSON Web (JWT) con el algoritmo «none».
¿Qué es un token JWT?
Un token JSON Web (JWT) es un formato utilizado para intercambiar información entre dos partes como JSON. Es una metodología para transmitir información de un sistema a otro, junto con una firma digital para autenticación.
Durante la creación de un token JWT para SharePoint, es posible ingresar datos arbitrarios debido a que el servidor no verifica la corrección de la firma digital. Al explotar estos mecanismos, los atacantes pueden eludir el proceso de autenticación y realizar acciones en SharePoint como administradores.
¿Cómo funciona la explotación?
Utilizando la vulnerabilidad CVE-2023-29357, los atacantes pueden generar solicitudes HTTP para suplantar a un usuario de Administrador de Sitio y realizar acciones adicionales en el sistema de SharePoint.
Además, los investigadores han llevado a cabo estudios para obtener la capacidad de ejecutar comandos en el servidor. Después de algunos días, se descubrió otra vulnerabilidad, CVE-2023-24955, que en conjunto con la anterior, permite la ejecución de comandos en el servidor sin autenticación previa.
¿Cuáles son las consecuencias?
Las vulnerabilidades CVE-2023-29357 y CVE-2023-24955 fueron parcheadas el año pasado, pero su existencia en el pasado era motivo de gran preocupación. La explotación de estas vulnerabilidades por parte de actores maliciosos puede llevar a violaciones de confidencialidad, integridad de datos y control sobre el sistema de SharePoint.
CISA recomienda que los administradores de SharePoint monitoreen y actualicen sus sistemas para prevenir problemas relacionados con estas vulnerabilidades.
Preguntas frecuentes
¿Cuáles son las vulnerabilidades en SharePoint descritas en este artículo?
Este artículo discute dos vulnerabilidades: CVE-2023-29357 y CVE-2023-24955. La primera vulnerabilidad permite evadir la autenticación en SharePoint a través de un token JWT, lo que permite la manipulación de acciones de administrador. La segunda vulnerabilidad permite la ejecución de comandos en el servidor sin autenticación previa.
¿Qué acciones se deben tomar para asegurar el sistema de SharePoint contra estas vulnerabilidades?
Para proteger el sistema de SharePoint contra estas vulnerabilidades, se recomienda monitorear y actualizar el sistema para aplicar los últimos parches y correcciones. También es importante realizar escaneos regulares de vulnerabilidad para identificar y mitigar posibles amenazas.
Fuente:
CISA: cisa.gov.pl
The source of the article is from the blog motopaddock.nl