La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados.
El investigador de seguridad Vinoth Kumar (@vinodsparrow) ha reportado la vulnerabilidad a través del programa de bug bounty de HackerOne.
La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS.
JumpCloud es una plataforma diseñada para empresas que permite gestionar de forma centralizada diferentes servicios en red: Directorios Activos, control de usuarios, sistemas de inicio de sesión unificado (SSO) o gestión de accesos mediante LDAP.
Kumar descubrió el repositorio realizando búsquedas desde el motor de la plataforma Github. En ella encontró un repositorio perteneciente a Starbucks donde se exponía la clave:
https://github.com/XXX/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go
req.Header.Add("x-api-key", "XXXXXXXXX")
La vulnerabilidad fue reportada a través de la plataforma HackerOne el 17 de octubre del pasado año y fue corregida cuatro días más tarde eliminando la clave del repositorio y anulando la clave en JumpCloud.
Kumar también ha publicado una prueba de concepto que demuestra cómo listar usuarios y máquinas o información sensible sobre configuraciones de Amazon Web Services (AWS).
Listado de sistemas (AWS):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systems»
Listado de usuarios:
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systemusers»
Aplicaciones con inicio de sesión unificado (SSO):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/applications»
Esta última petición mostraba configuraciones de AWS SAM que podrían ser aprovechadas para secuestrar la cuenta.
El día 4 de noviembre Starbucks agradeció a Kumar su reporte con una recompensa de 4.000 dólares, la máxima que la compañía otorga a vulnerabilidades críticas.
Más información:
JumpCloud API Key leaked via Open Github Repository.
https://hackerone.com/reports/716292
Comentarios recientes