A Tenable revelou que sua equipe Tenable Cloud Security Research descobriu uma vulnerabilidade no OPA (Open Policy Agent), um dos mecanismos mais utilizados de estrutura e linguagem unificada para declarar, impor e controlar políticas baseado em software de código aberto.
"À medida que os projetos de código aberto são integrados em soluções generalizadas, é crucial garantir que sejam seguros e não exponham os fornecedores nem seus clientes a uma maior superfície de ataque", disse Ari Eitan, diretor da Tenable Cloud Security Research. "Essa descoberta de vulnerabilidade destaca a necessidade de colaboração entre as equipes de segurança e de engenharia para mitigar esses riscos."
Sobre a vulnerabilidade
A vulnerabilidade, registrada como CVE-2024-8260, é uma vulnerabilidade de autenticação forçada SMB (Server Message Block) de gravidade média que afeta todas as versões do Open Policy Agent (OPA) para Windows anteriores à v0.68.0. A falha ocorre devido a uma validação incorreta da entrada, permitindo que usuários passem um recurso SMB arbitrário em vez de um arquivo tipo "Rego" como argumento para o OPA CLI ou uma das funções da biblioteca OPA Go.
A exploração bem-sucedida dessa vulnerabilidade pode resultar em acesso não autorizado ao vazar o hash Net-NTLMv2, ou seja, as credenciais do usuário que está atualmente conectado ao dispositivo Windows executando a aplicação OPA. Após a exploração, o atacante poderia retransmitir a autenticação para outros sistemas que suportam NTLMv2 ou realizar um ataque offline para decifrar a senha.
Por que é importante
O software de código aberto oferece às organizações de todos os tamanhos a capacidade de acelerar a inovação e o desenvolvimento de software com baixo ou nenhum custo. No entanto, confiar em software de código aberto para construir aplicações em escala empresarial envolve riscos. Dois exemplos claros desse problema são a vulnerabilidade Log4Shell, divulgada em dezembro de 2021, e o backdoor no XZ Utils revelado no início deste ano.
Recomendações
Com um inventário de software instalado e um processo sólido de gestão de patches, as organizações podem garantir que o software vulnerável em sistemas críticos seja atualizado assim que um patch estiver disponível. Gerenciar proativamente a exposição por meio de um inventário unificado de ativos permite que as equipes tenham uma visão holística de seu ambiente e riscos, facilitando a priorização eficaz dos esforços de remediação. Além disso, as organizações devem minimizar a exposição pública de serviços, a menos que seja absolutamente necessário, para proteger seus sistemas.
A Styra corrigiu o problema na versão mais recente do OPA (v0.68.0). Todas as versões anteriores do OPA v0.68.0 executadas no Windows são vulneráveis e devem ser atualizadas para evitar a exploração. As organizações que utilizam o OPA CLI ou o pacote OPA Go no Windows devem atualizar para a versão mais recente.
