La vulnerabilidad
podría permitir a un atacante remoto llevar a cabo un ataque ‘cross-site
request forgery’ que permita el robo de la cookie de autenticación.
Ansible es un proyecto
de software libre publicado en 2012 y adquirida por Red Hat en 2015. Se trata
de una herramienta de orquestación en múltiples equipos de tareas, muy popular
entre los administradores de sistema ya que les permita desplegar distintos
tipos de tareas (como actualizar configuraciones y lanzar comandos) en
distintas máquinas de forma simultánea.
La vulnerabilidad se
encuentra concretamente en Ansible Tower, una interfaz web para administrar
Ansible. El fallo, identificado como CVE-2018-10884, se encuentra localizado en
el fichero ‘awx/api/authentication.py’ y podría permitir la realización de un
ataque CSRF (Cross-site Request Forgery) para engañar a usuarios autentificados
para que visiten un sitio malicioso y secuestrar de esta manera la cookie de
autenticación.
El problema de
seguridad afecta a las versiones anteriores a la 3.1.8 y 3.2.6, las cuales
corrigen el error.
En Hispasec
publicamos hace unos años una guía sobre el uso del componente Ansible Vault
que permite mantener datos confidenciales como contraseñas o claves en archivos
cifrados en los ‘playbooks’ en lugar de hacerlo en texto plano.
Más información:
- Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10884
- Automatización segura de sistemas con Ansible Vault:
http://laboratorio.blogs.hispasec.com/2015/06/automatizacion-segura-de-sistemas-con.html
- CVE-2018-10884: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-10884
Fuente: Hispasec