Se ha descubierto una vulnerabilidad crítica de seguridad en la implementación de autorización abierta (OAuth) del marco de desarrollo de aplicaciones Expo.io, según informes de The Hacker News. La firma de seguridad API Salt Labs ha asignado el identificador CVE CVE-2023-28131 a esta deficiencia, calificándola con una puntuación de gravedad de 9,6 en el sistema CVSS. Esta vulnerabilidad permite a los atacantes aprovechar una fuga de credenciales en el marco vulnerable, lo que podría llevar al secuestro de cuentas y la filtración de datos confidenciales.
Bajo ciertas circunstancias, un actor malintencionado podría utilizar esta falla para realizar acciones en nombre de un usuario comprometido en plataformas como Facebook, Google o Twitter. Es importante destacar que para que el ataque sea exitoso, los sitios y aplicaciones que utilizan Expo deben haber configurado la opción de inicio de sesión único (SSO) a través de AuthSession Proxy utilizando un proveedor externo, como Google o Facebook.
En resumen, la vulnerabilidad permitiría a un atacante obtener el token secreto asociado a un proveedor de inicio de sesión, como Facebook, y utilizarlo para tomar el control de la cuenta de la víctima. Esto se lograría engañando al usuario objetivo para que haga clic en un enlace especialmente diseñado, el cual podría ser enviado a través de métodos tradicionales de ingeniería social, como correo electrónico, mensajes SMS o sitios web sospechosos.
Expo ha tomado medidas para abordar esta vulnerabilidad mediante una revisión implementada poco después de su divulgación responsable el 18 de febrero de 2023. Además, se recomienda a los usuarios que migren de la utilización de proxies de API AuthSession a registrar directamente esquemas de URL de vínculos profundos con proveedores de autenticación de terceros, a fin de habilitar las características de SSO.
James Ide de Expo explicó que "la vulnerabilidad habría permitido a un atacante potencial engañar a un usuario para que visite un enlace malicioso, inicie sesión en un proveedor de autenticación de terceros y revele inadvertidamente sus credenciales de autenticación de terceros". Esto se debió a que la URL de devolución de llamada de una aplicación se almacenaba en auth.expo.io antes de que el usuario confirmara explícitamente su confianza en dicha URL.
Es importante destacar que esta revelación se suma a otros incidentes de seguridad relacionados con OAuth, como los problemas encontrados en Booking.com y Kayak.com, que podrían haber permitido a los atacantes tomar el control de las cuentas de los usuarios y acceder a sus datos personales y de pago. Asimismo, la empresa de ciberseguridad Sonar descubrió una vulnerabilidad de inyección SQL en el sistema de gestión de contenido empresarial Pimcore (CVE-2023-28438), que permitiría a un adversario ejecutar código PHP arbitrario en el servidor con los permisos del servidor web. Además, Sonar reveló una vulnerabilidad almacenada y no autenticada de secuencias de comandos entre sitios en versiones anteriores de LibreNMS, que podría explotarse para lograr la ejecución remota de código.
Estos incidentes resaltan la importancia de mantener actualizados los sistemas y las aplicaciones, así como de seguir las mejores prácticas de seguridad en el desarrollo y la implementación de soluciones de software.
