El equipo detrás de GoCD anunció la corrección de tres vulnerabilidades que podrían ser explotadas de forma encadenada para tomar control total del servidor subyacente. Estas fallas fueron identificadas como CVE-2021-43288, CVE-2021-43286 y CVE-2021-43289, y su hallazgo se atribuye a los investigadores de la firma de seguridad SonarSource.
Simon Scannell, del equipo de expertos de SonarSource, menciona: “Un actor de amenazas capaz de explotar con éxito estas vulnerabilidades puede filtrar propiedad intelectual, modificar el código fuente, obtener acceso a los entornos de producción e inyectar un backdoor en cualquier software que produzca el servidor de CI/CD, abriendo la posibilidad de un ataque de cadena de suministro”.
El experto agrega que la falla puede ser explotada de forma masiva y los actores de amenazas ni siquiera necesitan saber mucha información sobre el sistema objetivo. Este reporte viene después de que se divulgaran detalles técnicos sobre CVE-2021-43287, una falla de lectura de archivos arbitrarios afectando a la misma plataforma.
El hallazgo de esta falla fue esencial para la detección de las últimas tres vulnerabilidades. La primera de estas fallas fue descrita como un error de scripts entre sitios (XSS) cuya explotación permitiría a los actores de amenazas hacerse pasar por un sitio web legítimo y realizar tareas de hacking de forma inadvertida.
Como se menciona anteriormente, las dos fallas siguientes podrían haber sido explotadas de forma encadenada para desplegar poderosos ciberataques,: “Los atacantes podrían forzar a los trabajos a fallar para incitar a los administradores a ingresar a la interfaz de GoCD2, activando el escenario XSS y eventualmente llevando a la ejecución remota de código”, agrega el investigador.
El equipo de SonarSource reportó estas fallas a los responsables de GoCD a finales del mes de octubre, por lo que los parches estuvieron listos hace unas semanas. A los usuarios de implementaciones afectadas, se les recomienda actualizar a v21.3.0, versión que contiene las actualizaciones para las 4 fallas reportadas. Scannell concluyó reconociendo que los desarrolladores de GoCD actuaron con prontitud, lo que sin duda evitará la explotación masiva de las vulnerabilidades encontradas por su equipo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.