Una vulnerabilidad crítica en la popular aplicación de colaboración de Slack permitiría la ejecución remota de código (RCE). Los atacantes podrían obtener un control remoto total sobre la aplicación de escritorio de Slack con un exploit exitoso y, por lo tanto, acceder a canales privados, conversaciones, contraseñas, tokens y claves, y varias funciones. También podrían penetrar aún más en una red interna, dependiendo de la configuración de Slack, según un informe de seguridad. El fallo fue publicado el viernes pasado e involucra ataques de Cross-Site Scripting (XSS) e inyección de HTML, que afectan al cliente de Slack para escritorio (Mac / Windows / Linux) anteriores a la versión 4.4.
«Con cualquier tipo de redirección bajo el contexto de la aplicación, es posible ejecutar código arbitrario dentro de las aplicaciones de escritorio de Slack», escribió el investigador de seguridad bajo el pseudónimo «oskarsv», que envió un informe sobre el error a Slack a través de la plataforma HackerOne (ganando $ 1,500). «Este informe demuestra un exploit diseñado específicamente que consiste en una inyección de HTML, una omisión de control de seguridad y una carga útil de RCE JavaScript», agregó.
Por otro lado, en el reporte remitido por el investigador se demostró que los correos electrónicos enviados en texto plano son almacenados sin filtrar en los servidores de files[.]slack[.]com, y son servidos como una página web (text/html). Esto abre la puerta a ataques de phishing con potencial impacto, al estar alojados en los propios servidores de la empresa.
Como remediación del fallo de seguridad, los usuarios deben asegurarse de que sus aplicaciones de escritorio de Slack estén actualizadas al menos a la versión 4.4 para evitar ataques. El error fue corregido en febrero pasado, pero fue recientemente revelado debido a una pausa de divulgación de HackerOne, plataforma donde fue informado, de los reportes de seguridad, acción que estuvo vigente durante varios meses.
Referencias: