LinkedIn parchea diversas vulnerabilidades XSS y CSRF
Las vulnerabilidades corregidas en LinkedIn podrían haber provocado ataques de phishing, infecciones de malware y la pérdida de las credenciales de los usuarios de la red social.
Tras la advertencia por parte de una serie de investigadores españoles, que alertaban de la detección de una serie de vulnerabilidades cross-site scripting (XSS) y cross-site request forgery (CSRF) en LinkedIn, la red social ha lanzado parches para ambos fallos. Las vulnerabilidades divulgadas eran fallos típicos que afectan a muchos sitios web, pero, dado que LinkedIn cuenta con más de 200 millones de usuarios, los riesgos eran elevados.
El investigador Eduardo García Melia descubrió múltiples vulnerabilidades XSS en la página web de inversores de LinkedIn, que permitirían a un atacante inyectar código HTML malicioso o scripts en la página. "Este fallo puede ser utilizado por un usuario malicioso para enviar phishing a los clientes de LinkedIn, abusando de la confianza de los usuarios en el portal para engañarles. Además, un atacante podría realizar ataques de phishing e inyectar código HTML o script en el navegador de la víctima, para realizar ataques XSS y robar las cookies de un usuario”, aseguró García Melia.
Melia aportó muestras de Javascript que podrían ser utilizadas para explotar las vulnerabilidades. "El equipo de LinkedIn ha corregido las vulnerabilidades, aunque ahora, cuando trato de explotar este problema da un error HTTP 500 no controlado. Podrían haberlo corregido mejor", afirma.
Otro colega suyo, Vicente Aguilera Díaz, informó una serie de vulnerabilidades CSRF localizadas en la herramienta Add Connections, una de las funciones más útiles y populares de LinkedIn, señalando que el token utilizado para autenticar a un usuario es la cookie de sesión, que se envía automáticamente por el navegador en cada petición. "El usuario no decide en cada solicitud si desea enviar cookies. Es el navegador del usuario el que envía cookies de forma automática y transparente cada vez que el usuario visita un sitio", explica Díaz. "Un usuario malicioso puede forzar al navegador del usuario a hacer una solicitud en la aplicación web, que considera que la petición se ha realizado por el usuario legítimo".
Esta hubiera sido una vulnerabilidad especialmente peligrosa en una aplicación de banca online, donde un atacante podía haberse hecho pasar por un usuario legítimo y ejecutar transacciones para vaciar la cuenta, lo más probable. En el caso de LinkedIn, un atacante podría haber agregado conexiones sin el conocimiento del usuario.
Noticias relacionadas:
- Presentan una demanda colectiva contra LinkedIn por el robo de contraseñas
- Facebook y LinkedIn trabajan para mejorar la privacidad de sus servicios
