Nuevos informes del Departamento de Defensa de Estados Unidos reportan cuatro nuevos problemas, relacionados directamente a la seguridad de su infraestructura, dos de ellos clasificados con alta gravedad, mientras que el resto de los bugs se describe como una brecha crítica dentro de la solidez del Pentágono.

Así lo develó un informe de la plataforma de divulgación de errores, HackerOne, cuyos usuarios informaron las debilidades del Pentágono entre agosto y julio de este año, algo que pudo dar a los atacantes hacia el dominio, permitiéndoles ejecutar códigos de forma remota, así como espiar los archivos de cualquiera de los dispositivos.

Principalmente, se devela la vulnerabilidad crítica de un bucket de Amazon S3, aquel que permitiría la toma forzada de control en un subdominio del Departamento de Defensa, tal como explicó el hacker Chron0x, quien afirma que el problema permitiría alojar contenido malicioso en un dominio legítimo.

Por otro lado, Hzllaga develó que la segunda falla crítica se relaciona a una modificación remota en el código de un servidor DoD, aquel que permitiría la ejecución del Apache Solr, el mismo que no recibe una actualización desde mediados de agosto del año pasado.

Ambas fallas permitirían a los atacantes eludir la seguridad, robando datos confidenciales del mismo, sin mencionar que dicho servidor era vulnerable a CVE-2019-0192 y CVE-2019-0193, siendo este último el que permitió a un hacker hacerse con un shell del Departamento de Defensa.

En cuanto a los errores de gravedad, estos se develaron por parte del analista de seguridad Ti Dan, quien los detalla como una ruta de solo lectura que pudo dar acceso a un atacante a los archivos dentro del sistema, mientras que el segundo bug se trata de un host, que permitiría la ejecución de un código arbitrario, tal como develó la empresa de seguridad, Positive Technologies.

Una vez develada esta información, el Departamento de Defensa se apresuró para validar y solucionar los problemas informados por la comunidad de hackers éticos, quienes explicaron que tardan alrededor ocho horas para clasificar los errores y solucionarlos.