Resumen: Recientemente, los investigadores de seguridad de JFrog, informaron sobre una nueva vulnerabilidad en Fastjson, cuya posible explotación le permitiría a los actores de la amenaza ejecutar un RCE.
Fastjson, es una biblioteca popular de Java, que suele ser utilizada para convertir cadenas JSON en objetos Java y viceversa.
El fallo, rastreado como CVE-2022-25845, reside en la función de deserialización de datos no fiables conocida como AutoType y ha sido clasificado como grave.
Es preciso destacar, que AutoType está activada por defecto y fue diseñada para especificar un tipo personalizado al analizar la entrada de JSON que más adelante puede ser deserializado.
Sin embargo, los atacantes podrían vulnerar cualquier clase disponible en el Classpath para analizar la entrada y llevar a cabo una ejecución remota de código con argumentos arbitrarios.
Instancias afectadas: · Todas las aplicaciones Java que ejecutan las versiones 1.2.80 o anteriores de Fastjson. · Aplicaciones Java que pasan datos de las API JSON.parse o JSON.parseObject, sin especificar una clase en específico, al momento de deserializar.
Si bien la vulnerabilidad podría tener un grave impacto en las instancias vulnerables, ya existen múltiples maneras de mitigar su posible impacto.
Para empezar, el fallo fue parcheado desde finales del mes pasado, por lo que sus correcciones ya están disponibles para el público.
También, el fallo fue abordado con la introducción de un safeMode; un modo que deshabilita AutoType e implementa una lista de bloqueo de clases para contrarrestar los problemas de deserialización.
Finalmente, aunque los atacantes han logrado pasar por alto el safeMode, el parche ha sido recientemente actualizado para mitigar la posible explotación del fallo.
Dada la creciente explotación de CVE-2022-25845, se le insta a todos los administradores a descargar las correcciones correspondientes.
Referencias: https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html https://securityaffairs.co/wordpress/132333/security/fastjson-library-rce.html |
SÍGUENOS