NUEVA VULNERABILIDAD CRITICA EN BACKSTAGE PLATAFORMA DE SPOTIFY

15/11/2022

BOLETÍN NRO 2022-668

Recientemente, investigadores de seguridad han descubierto una vulnerabilidad en las versiones anteriores del portal de desarrollo Spotify Backstage, que ocasionan una falla crítica (puntaje CVSS: 9.8) de ejecución remota de código no autenticado, que permite a los atacantes ejecutar comandos en sistemas expuestos públicamente.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA   La falla tiene sus orígenes en una herramienta, llamada plantillas de software que se pueden usar para crear componentes dentro de Backstage. Backstage es un portal para desarrolladores open source de Spotify que permite a los usuarios crear, administrar y explorar componentes de software desde una "front door" unificada. Lo utilizan muchas empresas como Netflix, DoorDash, Roku y Expedia, entre otras. El problema radica en un escape de la zona de pruebas de vm2, que los investigadores de seguridad revelaron en un informe anterior, advirtiendo sobre el despliegue extenso de la biblioteca particular de la zona de pruebas de JavaScript. Si bien el motor de plantilla emplea vm2 para mitigar el riesgo asociado con la ejecución de código que no es de confianza, la falla de escape del sandbox en este último, se hizo posible la ejecución de comandos del sistema fuera del perímetro de seguridad. Investigadores de seguridad dijeron que se pudo identificar más de 500 instancias de Backstage expuestas públicamente en Internet, que luego podrían ser implementadas de forma remota por un ciberdelincuente sin necesidad de una autorización previa.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Se recomienda actualizar a la última versión, Backstage versión 1.7.2 o posteriores.
• Se recomienda limitar sus opciones a los motores "sin lógica" como Moustache, para evitar ejecutar código JavaScript malicioso.
• Habilitar la autenticación frontal e interna para evitar el acceso no autorizado a las API de Backstage.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Researchers release exploit details for Backstage pre-auth RCE bug
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​