PayPal se ocupa de una vulnerabilidad en un sistema interno

Se ha descubierto una vulnerabilidad en la validación de la aplicacación web de un portal interno que utiliza el personal de PayPal para revisar la información de los usuarios.

El investigador Benjamin Kunz Mejri, de la alemana Vulnerability Lab, logró inyectar código en su propio perfil, que era ejecutado en el momento en que un empleado de PayPal accedía. El equipo de seguridad de la compañía se contactó con él luego de notar que cada vez que intentaban ver su perfil, les aparecía un mensaje que decía “hola”, tal como lo muestra el siguiente email publicado por Security Week:

PayPal-mail
La falla fue catalogada por Vulnerability Lab como crítica, ya que podía ser explotada en forma remota usando una cuenta básica de PayPal y no requería ninguna acción por parte de la víctima. De esta forma, cibercriminales pueden haber accedido a cuentas de desarrolladores y administradores o ejecutado códigos persistentes en el backend (motor) del portal. Además, es posible que se haya comprometido la vista y entradas de la base de datos de los valores afectados, para proveer los detalles manipulados al frontend (interfaz).

Tras el aviso por parte de los investigadores en febrero de 2013, PayPal comenzó a trabajar en un parche y finalmente lo lanzó en enero de 2014, pero sólo dejó a Vulnerability Lab publicar los detalles de la investigación hace tres días. La vulnerabilidad puede ser parcheada a través de una compresión más segura de los campos en los perfiles en las cuentas, por lo cual es aconsejable comprimir las entradas del usuario como nombre y tarjeta de crédito; esto puede ayudar a prevenir ejecuciones de código por parte de scripts persistentes. Además, para prevenir la inyección de código, se recomienda restringir los valores de las variables y deshabilitar los caracteres especiales.

Los campos afectados eran:

  • Dueño de la cuenta bancaria
  • Nombre y apellido
  • Nombre de la compañía
  • Dueño de la cuenta

Los detalles técnicos de la investigación y una prueba de concepto están disponibles en la publicación de Vulnerability Lab.

Créditos imagen: ©I like/Flickr
 

Autor , ESET

Síguenos