Investigadores de ciberseguridad revelaron el lunes detalles sobre una falla de día cero en los navegadores web basados en Chromium para Windows, Mac y Android que podría haber permitido a los atacantes eludir por completo las reglas de la Política de seguridad de contenido (CSP) desde Chrome 73. Seguimiento como CVE-2020-6519 (calificado con 6.5 en la escala CVSS), el problema surge de una omisión de CSP que da como resultado la ejecución arbitraria de código malicioso en los sitios web de destino.
Según PerimeterX, algunos de los sitios web más populares, incluidos Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger y Quora, eran susceptibles a la omisión de CSP.
Curiosamente, parece que Tencent Security Xuanwu Lab también destacó la misma falla hace más de un año, solo un mes después del lanzamiento de Chrome 73 en marzo de 2019, pero nunca se abordó hasta que PerimeterX informó el problema a principios de marzo.
Después de que se revelaran los hallazgos a Google, el equipo de Chrome emitió una solución para la vulnerabilidad en la actualización de Chrome 84 (versión 84.0.4147.89) que comenzó a implementarse el 14 de julio del mes pasado.
CSP es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross-Site Scripting (XSS) y ataques de inyección de datos. Con las reglas de CSP, un sitio web puede exigir al navegador de la víctima que realice ciertas verificaciones del lado del cliente con el objetivo de bloquear scripts específicos que están diseñados para explotar la confianza del navegador en el contenido recibido del servidor.
Dado que CSP es el método principal utilizado por los propietarios de sitios web para hacer cumplir las políticas de seguridad de datos y evitar la ejecución de scripts maliciosos, una omisión de CSP puede poner en riesgo los datos del usuario de manera efectiva.
Esto se logra especificando los dominios que el navegador debe considerar como fuentes válidas de scripts ejecutables, de modo que un navegador compatible con CSP solo ejecute scripts cargados en archivos de origen recibidos de esos dominios permitidos, ignorando todos los demás.
La falla descubierta por Tencent y PerimeterX elude el CSP configurado para un sitio web simplemente pasando un código JavaScript malicioso en la propiedad «src» de un elemento iframe HTML .
Vale la pena señalar que sitios web como Twitter, Github, LinkedIn, Google Play Store, la página de inicio de sesión de Yahoo, PayPal y Yandex no se encontraron vulnerables ya que las políticas de CSP se implementaron utilizando un nonce o hash para permitir la ejecución de scripts en línea.
«Tener una vulnerabilidad en el mecanismo de ejecución de CSP de Chrome no significa directamente que los sitios sean violados, ya que los atacantes también deben administrar para obtener el script malicioso llamado desde el sitio (por lo que la vulnerabilidad se clasificó como de gravedad media)», dijo PerimeterX. Señaló Gal Weizman.
Si bien se desconocen las implicaciones de la vulnerabilidad, los usuarios deben actualizar sus navegadores a la última versión para protegerse contra la ejecución de dicho código. A los propietarios de sitios web, por su parte, se les recomienda que utilicen las capacidades nonce y hash de CSP para mayor seguridad.
Además de esto, la última actualización de Chrome 84.0.4147.125 para sistemas Windows, Mac y Linux también corrige otras 15 vulnerabilidades de seguridad, 12 de las cuales están calificadas como «altas» y dos «bajas» en gravedad.