Grave Vulnerabilità su Tecnologia RichFaces

Proto: N071118.

Con la presente Yoroi desidera informarLa relativamente ad una grave vulnerabilità all’interno della tecnologia RichFaces, storicamente uno dei framework opensource più utilizzati in applicazioni enterprise JavaServer Faces su piattaforme JBoss e Tomcat. La criticità è nota con l’identificativo CVE-2018-14667.

La problematica è originata da lacune nella gestione degli input utente durante le routine di deserializzazione, dove un attaccante di rete non autenticato può essere in grado di eseguire codice arbitrario all’interno del server bersaglio, condizione sufficiente per l’eventuale installazione di backdoor e l’accesso non autorizzato a dati e servizi ospitati nelle infrastrutture limitrofe.

Benché il supporto ufficiale da parte del Manutentore sia terminato nel 2016, la libreria risulta ancora utilizzata in varie piattaforme di servizio: ad esempio nel Maggio 2018 uno 0-day su RichFaces è stato individuato in uno dei portali di PayPal.

RedHat ha confermato la problematica attraverso un apposito bollettino, dove risultano afflitte le versioni del framework 3.X fino a 3.3.4, rilasciando in seguito aggiornamenti di sicurezza per i pacchetti software:

  • Red Hat JBoss Enterprise Application Platform 5 for RHEL 5 Server (richfaces)
  • Red Hat JBoss Enterprise Application Platform 5 for RHEL 6 Server (richfaces)
  • Red Hat JBoss EAP 5
  • Red Hat JBoss SOA Platform 5.3
  • JBoss Enterprise BRMS Platform 5.3

Considerata la disponibilità di dettagli tecnici e proof-of-concept di questa criticità, il possibile utilizzo del framework all’interno di servizi applicativi e prodotti software di terze parti a discapito del fine vita, Yoroi consiglia caldamente di verificare la presenza di eventuali librerie RichFaces vulnerabili nei Vostri servizi applicativi basati sulle piattaforme JBoss e Tomcat, di pianificare l’applicazione delle patch di sicurezza e di prendere contatto con i Produttori qualora non fossero disponibili idonei aggiornamenti.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index