Un conocido error de deserialización de Java compromete los servidores de PayPal; la empresa lo descubrió gracias a que un investigador de seguridad entró en sus servidores y tomó datos para probar el problema, y ya está siendo solucionado. Michael “Arsploit” Stepankin, un investigador de seguridad independiente (y un White hat) ha descubierto un fallo de seguridad crítico en la interfaz del Manager de PayPal que le permitió ejecutar un código malicioso en los servidores de PayPal, una acción que le habría permitido tomar control absoluto de la infraestructura de PayPal. El error es causado por una explotación del problema de deserialización de Java que lleva existiendo más de un año, pero la comunidad de seguridad sólo tomó consciencia de él el pasado otoño. El problema radica en el modo en el que los desarrolladores manejan los datos serializados provenientes de los usuarios en Java, y que se pueden encontrar en diferentes bibliotecas de Java de código abierto.

Las prácticas poco seguras de código de Java han expuesto los servidores de PayPal

Los investigadores que descubrieron el fallo también publicaron una herramienta que genera automáticamente el código malicioso necesario para explotar esta vulnerabilidad a través de la biblioteca Apache Commons Collections Java. El señor Stepankin utilizó esta herramienta para crear un objeto serializado malicioso en Java, que después insertó en uno de los formularios presentes en la interfaz Manager Web de PayPal tras descubrir que los desarrolladores de PayPal no la habían protegido.

“Me di cuenta de que es un objeto serializado Java sin firma y se maneja en la aplicación” escribió ayer Stepankin en una entrada de blog. “Esto significa que puedes enviar al servidor un objeto serializado de cualquier clase existente y el método ‘readObject’ (o ‘readResolve’) de dicha clase será llamado”.

Pudo descargar archivos desde PayPal

El primer código malicioso fue un simple test, pero tras encontrar pruebas de los fallos en PayPal, Stepankin creó un segundo exploit mucho más intrusivo con la orden de enviar a su servidor contraseñas y otros datos comprometidos. Tras descubrir que este exploit también había funcionado, se puso en contacto con PayPal para informar de su descubrimiento. La compañía se lo ha agradecido premiándole con una suma de dinero por su trabajo. Stepankin ha reconocido que informó del problema a mediados de diciembre, pero PayPal acaba de solucionarlo ahora.