PayPal ha solucionado una vulnerabilidad grave en su sistema back-end de administración, que pudo haber permitido a los atacantes ejecutar comandos arbitrarios en el servidor y, potencialmente, instalar una puerta trasera.

La vulnerabilidad es parte de una clase de errores que se derivan de la deserialización de objetos en Java y que los investigadores de seguridad han advertido desde hace aproximadamente un año.

En los lenguajes de programación, la serialización es el proceso de convertir los datos a un formato binario para almacenarlos o enviarlos a través de la red. La deserialización es el inverso de este proceso.

La deserialización no es un problema en sí mismo, pero como la mayoría de los procesos que involucran el procesamiento de entradas potencialmente desconfiables, las medidas deben ser adoptadas para garantizar que se lleva a cabo de manera segura. Por ejemplo, un atacante podría crear un objeto serializado que incluya una clase de Java que la aplicación acepta y que podría ser objeto de abuso para realizar actividad maliciosa.

Los investigadores de seguridad Chris Frohoff y Gabriel Lawrence hicieron una presentación acerca de este tipo de ataques en una conferencia de seguridad de hace un año. Luego, en noviembre, los investigadores de una compañía llamada FoxGlove Security publicaron un exploit de prueba de concepto para una vulnerabilidad de deserialización en una biblioteca popular llamada Apache Commons Collections, que se incluye de manera predeterminada en muchos servidores de aplicaciones Java.

Los investigadores en seguridad advirtieron en su momento que miles de aplicaciones web basadas en Java, incluida la particular de PayPal, eran potencialmente vulnerables a este ataque y dijeron que era probable que tanto los hackers buenos como los malos empezaran a probarlo.

Michael Stepankin, el cazador de errores que encontró la reciente vulnerabilidad en el sitio web "manager.paypal.com", es uno de esos piratas cibernéticos. Se inspiró en la investigación de Frohoff, Lawrence y los investigadores de FOXGLOVE, e incluso utiliza una de las herramientas que producían para construir el payload del ataque.

Después de determinar que el sitio de PayPal era vulnerable a la deserialización Java, Stepankin fue capaz de explotar el fallo para ejecutar comandos arbitrarios en su servidor web subyacente.

"Por otra parte, podría establecer una conexión de regreso a mi propio servidor de Internet y por ejemplo, cargar y ejecutar una puerta trasera", dijo en un blog. "En consecuencia, podría conseguir el acceso a las bases de datos de producción utilizadas por la aplicación manager.paypal.com."

Después de que reportara el problema a PayPal y lo arreglaran, la compañía le dio una recompensa a través de su programa de recompensas de errores, a pesar de que su informe fue marcado como un duplicado. Resulta que otro investigador de seguridad informó el mismo tema, unos días antes, lo que demuestra que la gente está actualmente explorando este tipo de vulnerabilidad.

Los desarrolladores deben asegurarse de actualizar la biblioteca Apache Commons Collections, utilizada por sus servidores y aplicaciones Java para al menos las versiones 3.2.2 o 4.1, que se ocupan de esta cuestión. Sin embargo, es probable que este tipo de vulnerabilidad exista en otras bibliotecas, a la espera de ser descubierta.