7 vulnerabilidades críticas en Istio, la malla de servicios de código abierto. Miles de aplicaciones basadas en microservicios se ven afectadas

Especialistas en ciberseguridad reportan la detección de un conjunto de vulnerabilidades en Istio, la plataforma de red de servicios con tecnología de código abierto que permite controlar el intercambio de datos entre distintos microservicios. Según el reporte, la explotación exitosa de estas fallas permitiría el despliegue de toda clase de acciones maliciosas.

A continuación se presentan breves descripciones de las fallas reportadas y sus respectivos puntajes asignados por el Common Vulnerability Scoring System (CVSS).

CVE-2021-32777: Un error en la extensión ext-authz al enviar encabezados de solicitud al servicio de autorización externo en Envoy permitiría a los actores de amenazas remotos evadir el proceso de autorización y obtener acceso no autorizado a la aplicación cuando se use la extensión ext-authz.

Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.3/10.

CVE-2021-32781: Un error use-after-free al procesar solicitudes y respuestas HTTP en Envoy permitiría a los hackers remotos enviar una solicitud o respuesta HTTP especialmente diseñada a la aplicación, conduciendo a un ataque de denegación de servicio (DoS).

La falla recibió un puntaje CVSS de 5.2/10 y su explotación exitosa requiere la presencia de una extensión capaz de modificar el tamaño de las solicitudes o respuestas, aunque esto no quiere decir que la explotación sea un proceso complejo.  

CVE-2021-32778: Envoy está configurado con un límite alto en flujos simultáneos H/2, lo que podría ser aprovechado por atacantes remotos para generar una condición DoS en el sistema objetivo.

Esta es una falla de severidad media y recibió un puntaje CVSS de 4.6/10.

CVE-2021-32780: La incorrecta administración de H/2 GOAWAY seguido de marcos SETTINGS permitiría a los atacantes remotos generar una condición DoS en el sistema objetivo.   

La vulnerabilidad recibió un puntaje CVSS de 6.4/10.

CVE-2021-39155: Una comparación de host que no distingue entre mayúsculas y minúsculas permitiría a los atacantes remotos enviar una solicitud especialmente diseñada para evadir la autorización en el sistema objetivo.

La falla recibió un puntaje CVSS de 7.2/10, por lo que se le considera un error de alta severidad.

CVE-2021-39156: La incorrecta implementación de controles de autorización permitiría a los actores de amenazas remotos enviar solicitudes HTTP especialmente diseñadas con #fragment en la ruta y evadir la autorización en el sistema afectado.  

Esta vulnerabilidad recibió un puntaje CVSS de 7.1/10.

CVE-2021-32779: El manejo incorrecto del elemento “#fragment” de URI como parte del elemento de ruta permite a los atacantes remotos enviar una solicitud especialmente diseñada y obtener acceso no autorizado a información confidencial.

La falla recibió un puntaje CVSS de 7.5/10, lo que la convierte en el error más severo en este reporte.

Según mencionan los expertos en ciberseguridad, todas las fallas residen en las siguientes versiones de Istio: 1.9.0, 1.9.1, 1.9.2, 1.9.3, 1.9.4, 1.9.5, 1.9.6, 1.9.7, 1.10.0, 1.10.1, 1.10.2, 1.10.3 y 1.11.0.

Si bien todas las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).