Lo que vas a encontrar...
Una vulnerabilidad ahora parcheada en la plataforma Apache Pulsar podría permitir ataques MiTM, poniendo en riesgo muchos servicios críticos. Los usuarios deben actualizar a la última versión parcheada para corregir la vulnerabilidad y evitar incidentes.
La vulnerabilidad de Apache Pulsar representaba una seria amenaza
El investigador de seguridad Michael Marshall de DataStax ha descubierto una grave vulnerabilidad de seguridad en la plataforma Apache Pulsar.
Apache Pulsar es una plataforma de transmisión y mensajería distribuida en la nube y de código abierto. Es un servicio popular que tiene muchos gigantes empresariales en su lista de clientes, brindándoles mensajería instantánea, microservicios, integración de datos y canalizaciones de datos de alto rendimiento.
Según Marshall, explotar la vulnerabilidad podría permitir ataques de intermediarios en los sistemas de destino.
Como se explica en un aviso, la falla existía porque la verificación de nombre de host TLS se podía habilitar en Pulsar Broker Java Client, Pulsar Broker Java Admin Client, Pulsar WebSocket Proxy Java Client y Pulsar Broker Java Client. Por lo tanto, expuso detalles confidenciales a un adversario, como datos de mensajes, detalles de configuración, credenciales y cualquier otro dato manejado por clientes vulnerables.
El aviso explica además que la falla existía en los protocolos pulsar+ssl y HTTPS.
Según The Daily Swig, explotar la vulnerabilidad requería que un atacante tomara el control de una máquina entre el servidor de destino y el cliente. Luego, dado que el cliente vulnerable expondría los datos de autenticación al atacante y la autenticación tuvo lugar antes de la verificación del nombre de host, el adversario podría engañar al cliente para que envíe certificados criptográficamente válidos para un host no relacionado.
Parche lanzado
Luego de este descubrimiento, Marshall informó el problema a los proveedores, luego de lo cual los desarrolladores corrigieron la vulnerabilidad.
La falla afectó a las versiones 2.7.0 a 2.7.4 del cliente Apache Pulsar Java; 2.8.0 a 2.8.3; 2.9.0 a 2.9.2; 2.10.0; y 2.6.4 y anteriores. Por lo tanto, los usuarios deben actualizar a las versiones parcheadas 2.7.5, 2.8.4, 2.9.3, 2.10.1 o superior para recibir el parche.
Considerando que, para los usuarios para quienes la actualización no es posible de inmediato, el investigador recomienda rotar los datos de autenticación estáticos y habilitar la verificación del nombre de host a través de los archivos de configuración respectivos.
Háganos saber sus pensamientos en los comentarios.
