Oracle iPlanet Web Server 7.0 tiene un problema de seguridad, y es un problema muy serio, ya que es la resultante de una suma de varios factores, más concretamente tres. Los dos primeros, como suele ocurrir habitualmente, son vulnerabilidades detectadas por los investigadores. Hasta aquí hablamos de una historia bastante común, ¿verdad? Lo que hace que la situación sea mucho más compleja es que Oracle dejó de dar soporte a este servidor web hace algún tiempo, pero pese a ello sigue estando en uso en no pocos servidores. Algunos… en fin, hablaremos de ellos tras revisar la noticia. Y no te va a gustar, te lo aseguro.

Las dos vulnerabilidades de Oracle iPlanet Web Server no son nada nuevo, fueron descubiertas por primera vez por los investigadores de Nightwatch Cybersecurity el 19 de enero de 2020. Los problemas detectados se encontraron en la consola de administración web del sistema de administración del servidor, y fueron identificadas como CVE-2020-9315 y CVE-2020-9314, las fallas de seguridad permiten la exposición de datos confidenciales y ataques de inyección. Veamos en detalle cada una de las vulnerabilides:

CVE-2020-9315 permite la lectura de cualquier página dentro de la consola, sin autenticación, simplemente reemplazando una URL de la GUI del administrador para la página de destino. Los investigadores piensan que este error podría provocar la filtración de datos confidenciales, incluida la información de configuración y las claves de cifrado.

CVE-2020-9314 se descubrió en el parámetro «productNameSrc» de la consola. La resolución de un problema anterior, identificado como CVE-2012-0516 y del que no se llegó a publicar información produjo, a su vez, ciertos problemas en la validación de datos. Algo que provoca que este parámetro pueda ser empleado malintencionadamente junto con los parámetros «productNameHeight» y «productNameWidth» para la inyección de imágenes en un dominio para propósitos de phishing e ingeniería social.

Se ha identificado que estos problemas afectan a Oracle iPlanet Web Server 7.0, si bien se desconoce si ocurre lo mismo con versiones anteriores del servidor web. Con respecto a sus sucesores, Oracle Glassfish y Eclipse Glassfish, los investigadores afirman que pese a que comparten código con iPlanet, no parecen verse afectadas por estas vulnerabilidades. Algo que, sumado a que Oracle ya no da soporte técnico, debería haber empujado a los administradores responsables de los sistemas afectados a sustituir el servidor web por otras opciones.

Por la razón que sea, parece que algunos no han aprovechado estos meses para hacerlo. Y a día de hoy, con las vulnerabilidades totalmente reveladas, con el riesgo que ello implica, siguen empleando Oracle iPlanet Web Server 7 en sus infraestructuras, con el importante riesgo de seguridad que eso supone. Y me gustaría decir que he tenido que llevar a cabo una profunda investigación para encontrar ejemplos de ello, pero desgraciadamente solo me ha llevado un minuto encontrar dos ejemplos de ello que me han dejado particularmente contrariado.

Oracle iPlanet Web Server 7.0, el SEPE y la UAM

Hablo de los sitios web del Servicio Estatal de Empleo, el SEPE (https://sepe.es/HomeSepe) y la Universidad Autónoma de Madrid, UAM (https://uam.es/UAM/Home.htm). De ambas puedes ver una pequeña ficha técnica que he obtenido en una de las centenares de páginas web que permiten comprobar qué servidor web está empleando una página.Ficha del servidor web de la Universidad Autónoma de Madrid

Ficha del servidor web de la Universidad Autónoma de Madrid (UAM) con Oracle iPlanet Web Server 7Ficha del servidor web del Servicio Público de Empleo Estatal

Ficha del servidor web del Servicio Público de Empleo Estatal (SEPE) con Oracle iPlanet Web Server 7

Ambos servidores, a fecha y hora de publicación de esta noticia, siguen corriendo con Oracle iPlanet Web Server. Una de las principales instituciones educativas de España, y la presencia online del servicio nacional de trabajo, el antiguo INEM no protegen su seguridad tal y como cabría desear. Me cuesta creer que esto esté sucediendo con ambas entidades, y me preocupa que las consecuencias de esta deficiencia puedan afectar a los usuarios de sus servicios. No lo entiendo y, desde luego, espero que esto suponga un toque de atención a los responsables de esas infraestructuras o, más probablemente, de las «instancias superiores» de las que éstos dependen.

Fuente y redacción: ZDNet

Compartir