Foi divulgada uma vulnerabilidade crítica de segurança na implementação de Autorização Aberta (OAuth) do framework de desenvolvimento de aplicativos Expo io.
A falha, identificada com o número
CVE-2023-28131
, tem uma classificação de gravidade de 9.6 no sistema de pontuação CVSS.
A empresa de segurança de API, Salt Labs, afirmou que o problema tornava os serviços que usavam o framework suscetíveis a vazamentos de credenciais, que poderiam então ser usados para sequestrar contas e extrair dados sensíveis.
Em certas circunstâncias, um ator ameaçador poderia ter aproveitado a falha para executar ações arbitrárias em nome de um usuário comprometido em várias plataformas, como Facebook, Google ou Twitter.
Expo, semelhante ao Electron, é uma plataforma de código aberto para desenvolver aplicativos nativos universais que rodam no Android, iOS e na web.
Vale ressaltar que, para o ataque ter sucesso, os sites e aplicativos que usam o Expo devem ter configurado a configuração do proxy AuthSession para logins únicos (SSO) usando um provedor de terceiros, como Google e Facebook.
Em outras palavras, a vulnerabilidade poderia ser aproveitada para enviar o token secreto associado a um provedor de login (por exemplo, Facebook) para um domínio controlado pelo ator e usá-lo para assumir o controle da conta da vítima.
Isso, por sua vez, é realizado enganando o usuário-alvo a clicar em um link especialmente criado que pode ser enviado por vetores tradicionais de engenharia social, como e-mail, mensagens SMS ou um site duvidoso.
Expo, em um aviso, disse que implantou uma correção imediata dentro de algumas horas após a divulgação responsável em 18 de fevereiro de 2023.
Também é recomendado que os usuários migrem do uso de proxies da API AuthSession para o registro direto de esquemas de URL de link profundo com provedores de autenticação de terceiros para habilitar recursos de SSO.
"A vulnerabilidade teria permitido a um possível atacante enganar um usuário para visitar um link malicioso, fazer login em um provedor de autenticação de terceiros e inadvertidamente revelar suas credenciais de autenticação de terceiros", disse James Ide, da Expo.
A divulgação segue a descoberta de problemas semelhantes do OAuth no Booking.com (e seu site irmão Kayak.com) que poderiam ter sido aproveitados para assumir o controle da conta do usuário, obter total visibilidade de seus dados pessoais ou de cartão de pagamento e realizar ações em nome da vítima.
As descobertas também vêm semanas após a empresa de cibersegurança suíça Sonar detalhar uma falha de travessia de caminho e injeção de SQL no sistema de gerenciamento de conteúdo empresarial Pimcore (
CVE-2023-28438
) que um adversário pode abusar para executar código PHP arbitrário no servidor com as permissões do servidor da web.
Sonar, em março de 2023, também revelou uma vulnerabilidade de armazenamento de XSS cruzado não autenticado que afeta as versões 22.10.0 e anteriores do LibreNMS que podem ser exploradas para obter execução remota de código quando o Protocolo Simples de Gerenciamento de Rede (SNMP) está habilitado.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...