Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en las llamadas de API autorizadas a una instancia vulnerable en OneFuzz (CVE-2021-37705)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/08/2021
Última modificación:
27/10/2022

Descripción

OneFuzz es una plataforma de Fuzzing-As-A-Service de código abierto. A partir de la versión 2.12.0 o superior de OneFuzz, una comprobación de autorización incompleta permite a un usuario autenticado de cualquier inquilino de Azure Active Directory realizar llamadas de API autorizadas a una instancia vulnerable de OneFuzz. Para ser vulnerable, una implementación de OneFuzz debe ser ambas versión 2.12.0 o superior y estar implementada con la opción no predeterminada --multi_tenant_domain. Esto puede resultar en un acceso de lectura y escritura a datos privados, como información sobre vulnerabilidades y bloqueo de software, herramientas de pruebas de seguridad y código y símbolos propios. Por medio de llamadas autorizadas a la API, esto también habilita la manipulación de los datos existentes y una ejecución no autorizada de código en los recursos informáticos de Azure. Este problema es resuelto a partir de la versión 2.31.0, por medio de la adición de la comprobación a nivel de aplicación del "issuer" del token de portador con una lista de permisos configurada por el administrador. Como solución, los usuarios pueden restringir el acceso al inquilino de una instancia de OneFuzz desplegada anterior a 2.31.0 al redesplegar en la configuración predeterminada, que omite la opción "--multi_tenant_domain".

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:microsoft:onefuzz:*:*:*:*:*:*:*:* 2.12.0 (incluyendo) 2.31.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información