1 de diciembre de 2013

Ruby on Rails. Cookies de sesión no vencidas pueden ser robadas y reutilizadas

Un investigador de seguridad advertió que una vulnerabilidad decubierta en septiembre en Ruby on Rails, sigue en la Web, porque los administradores siguen sin darse por enterados de la existencia de una vulnerabilidad en su mecanismo de almacenamiento de sesión predeterminado CookieStore. 

Ruby on Rails, también conocido como RoR o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, siguiendo el paradigma de la arquitectura Modelo Vista Controlador (MVC). Trata de combinar la simplicidad con la posibilidad de desarrollar aplicaciones del mundo real escribiendo menos código que con otros frameworks y con un mínimo de configuración.

La debilidad afecta a algunos grandes nombres, como Warner Bros, Kickstarter, y la popular Tweet-aggregator tool Paper.li

Impacto y detalle de la vulenrabilidad

GS McNamara, investigador de EE.UU. indicó en septiembre, que el problema reside en que el CookieStore conserva las cookies de sesión válidos en el lado del cliente para siempre. Esto se conoce como una debilidad “expiración de sesión insuficiente”.

Esto significa que si un atacante malintencionado fuera a robar la cookie de cualquier solicitud fehaciente (a través, por ejemplo, un ataque XSS que le da al atacante acceso a la tienda de cookies de un usuario, pero hay un montón de otras maneras de obtener una copia de la cookie) , podrían usarlo para hacerse pasar por la víctima e iniciar sesión en la aplicación Web Ruby.

También supone un riesgo para las personas que utilizan terminales de uso público, o computadoras de la oficina que se podría acceder por compañeros de trabajo.

Recomendación:


McNamara recomienda que los administradores deben abandonar CookieStore en favor de otros mecanismos como ActiveRecordStore.

Pero en su último trabajo detecta que ésto no está sucediendo, puesto que ha encontrado 1.897 sitios ( incluyendo los nombres mencionados anteriormente ) que todavía están usando el débil mecanismo CookieStore.

Fuente: The Register