Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados.

El investigador de seguridad Vinoth Kumar (@vinodsparrow) ha reportado la vulnerabilidad a través del programa de bug bounty de HackerOne.

La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS.

JumpCloud es una plataforma diseñada para empresas que permite gestionar de forma centralizada diferentes servicios en red: Directorios Activos, control de usuarios, sistemas de inicio de sesión unificado (SSO) o gestión de accesos mediante LDAP.

Kumar descubrió el repositorio realizando búsquedas desde el motor de la plataforma Github. En ella encontró un repositorio perteneciente a Starbucks donde se exponía la clave:

https://github.com/XXX/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go

req.Header.Add("x-api-key", "XXXXXXXXX")

La vulnerabilidad fue reportada a través de la plataforma HackerOne el 17 de octubre del pasado año y fue corregida cuatro días más tarde eliminando la clave del repositorio y anulando la clave en JumpCloud.

Kumar también ha publicado una prueba de concepto que demuestra cómo listar usuarios y máquinas o información sensible sobre configuraciones de Amazon Web Services (AWS).

Listado de sistemas (AWS):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systems»

Listado de usuarios:
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systemusers»

Aplicaciones con inicio de sesión unificado (SSO):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/applications»

Esta última petición mostraba configuraciones de AWS SAM que podrían ser aprovechadas para secuestrar la cuenta.

El día 4 de noviembre Starbucks agradeció a Kumar su reporte con una recompensa de 4.000 dólares, la máxima que la compañía otorga a vulnerabilidades críticas.

Más información:

JumpCloud API Key leaked via Open Github Repository.
https://hackerone.com/reports/716292

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.