Lo último:
Seguridad

Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

Gustavo Genez

La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados.

El investigador de seguridad Vinoth Kumar (@vinodsparrow) ha reportado la vulnerabilidad a través del programa de bug bounty de HackerOne.

La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS.

JumpCloud es una plataforma diseñada para empresas que permite gestionar de forma centralizada diferentes servicios en red: Directorios Activos, control de usuarios, sistemas de inicio de sesión unificado (SSO) o gestión de accesos mediante LDAP.

Kumar descubrió el repositorio realizando búsquedas desde el motor de la plataforma Github. En ella encontró un repositorio perteneciente a Starbucks donde se exponía la clave:

https://github.com/XXX/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go

req.Header.Add("x-api-key", "XXXXXXXXX")

La vulnerabilidad fue reportada a través de la plataforma HackerOne el 17 de octubre del pasado año y fue corregida cuatro días más tarde eliminando la clave del repositorio y anulando la clave en JumpCloud.

Kumar también ha publicado una prueba de concepto que demuestra cómo listar usuarios y máquinas o información sensible sobre configuraciones de Amazon Web Services (AWS).

Listado de sistemas (AWS):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systems»

Listado de usuarios:
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systemusers»

Aplicaciones con inicio de sesión unificado (SSO):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/applications»

Esta última petición mostraba configuraciones de AWS SAM que podrían ser aprovechadas para secuestrar la cuenta.

El día 4 de noviembre Starbucks agradeció a Kumar su reporte con una recompensa de 4.000 dólares, la máxima que la compañía otorga a vulnerabilidades críticas.

Más información:

JumpCloud API Key leaked via Open Github Repository.
https://hackerone.com/reports/716292

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Un fallo en el wallet Electrum podría permitir la sustracción total del mismo

Gustavo Genez

Cuando tu impresora es más lista de lo que parece: Ejecución remota en HP

Gustavo Genez

Vulnerabilidad crítica en dispositivos de Juniper

Gustavo Genez