PayPal, la última víctima de los bugs en las web apps

Imprimir

1_-_Paypal.jpg

Durante los últimos días, PayPal, la gran plataforma de pago On-line, ha corregido varias vulnerabilidades graves en su sistema de gestión de servicios del back-end.

Estas vulnerabilidades, permitían a los atacantes, ejecutar comandos en el servidor, abriendo la posibilidad a instalar una puerta trasera.

 

El origen se sitúa en Java:

2_-_Paypal.jpg

La vulnerabilidad es parte de una serie de agujeros de seguridad en la deserialización de objetos en Java.

Este proceso consiste en convertir datos binarios a objetos y los investigadores Chris Frohoff y Gabriel Lawrence ya advirtieron hace un año en una presentación que era un proceso con varios agujeros de seguridad.

Varios investigadores apuntan a que la deserialización no genera un problema de seguridad por sí misma, sino que son los procesos que se utilizan, los cuales pueden generar una introducción de datos no autorizada, por lo es necesario tomar medidas para asegurar que el procedimiento es seguro.

 

¿Estos fallos de seguridad afectan a otros sitios web?

3_-_Paypal.jpg

Los investigadores advierten de que miles de aplicaciones Java en la web, incluyen código personalizado y vulnerable a ataques de este tipo, por lo que se recomienda revisar el código de las aplicaciones en busca de fallos de seguridad durante el proceso de deserialización.

Adicionalmente, se recomienda actualizar la librería “Apache Commons Collections” usada en servidores Java y aplicaciones. En concreto, se recomienda actualizar a versiones posteriores a 3.2.2 o 4.1, las cuales evitan este tipo de ataques.