Vulnerabilidad crítica en node-forge permite elusión de verificaciones de firma en aplicaciones JavaScript

Introducción

En fechas recientes, se ha revelado una vulnerabilidad crítica en el paquete ‘node-forge’, una de las bibliotecas criptográficas más empleadas en el ecosistema JavaScript y Node.js para la gestión de operaciones criptográficas como generación de claves, cifrado, firmas digitales y manejo de certificados. Esta debilidad, identificada con el CVE-2024-26145, permite a un atacante manipular el proceso de verificación de firmas digitales, posibilitando que datos maliciosos sean aceptados como legítimos. El incidente ha encendido las alarmas tanto en la comunidad de desarrolladores como entre profesionales de ciberseguridad, dada la amplia adopción de node-forge en proyectos web, aplicaciones empresariales y herramientas DevOps.

Contexto del Incidente o Vulnerabilidad

Node-forge es un paquete de código abierto que suministra APIs para implementar operaciones criptográficas en aplicaciones basadas en JavaScript. Según datos de npm, supera los 8 millones de descargas semanales y figura como dependencia directa o transitiva en más de 80.000 proyectos públicos y privados. El 27 de junio de 2024, investigadores de seguridad notificaron la vulnerabilidad a través de la plataforma GitHub Security Advisory, detallando cómo la función de verificación de firmas digitales podía ser eludida bajo ciertas condiciones. Aunque la vulnerabilidad afecta principalmente a aplicaciones Node.js, también impacta servicios web y clientes que utilicen esta librería para validar la integridad y autenticidad de datos.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

La vulnerabilidad ha sido catalogada como CVE-2024-26145 y reside en la función de verificación de firmas digitales implementada en versiones de node-forge anteriores a la 1.3.1. El fallo permite a un atacante manipular ciertos parámetros de entrada o crear datos especialmente diseñados (“crafted data”) que engañan al algoritmo de validación, dando como resultado una verificación positiva de firmas no legítimas.

El vector de ataque se basa en la manipulación de la estructura ASN.1 utilizada por node-forge para representar datos firmados. Un atacante que posea conocimientos sobre el formato de los mensajes y el proceso de serialización puede construir mensajes que, aunque no hayan sido firmados por la clave privada correspondiente, sean aceptados como válidos.

En términos de MITRE ATT&CK, la técnica asociada sería T1552 (Unsecured Credentials), dado que permite la manipulación de mecanismos de autenticación. En entornos donde node-forge valida tokens JWT, certificados X.509 o mensajes firmados, la explotación permite la suplantación de identidad, acceso no autorizado y manipulación de datos críticos.

Entre los Indicadores de Compromiso (IoC) relevantes, se encuentran logs con verificaciones de firmas exitosas para datos atípicos, o la presencia de payloads con estructuras ASN.1 inusuales en solicitudes HTTP/S o flujos internos de la aplicación.

Impacto y Riesgos

El alcance de la vulnerabilidad es considerable. Dado que node-forge se utiliza habitualmente en pasarelas de pago, servicios de autenticación, sistemas de federación de identidad (SSO/SAML/OAuth) y herramientas de gestión de certificados, un atacante puede:

– Eludir verificaciones de integridad y autenticidad, permitiendo la inyección de datos maliciosos.
– Suplantar identidades, acceder a recursos protegidos y escalar privilegios.
– Impactar la confidencialidad, integridad y disponibilidad de servicios críticos.

Empresas bajo el paraguas del GDPR y la futura directiva NIS2 podrían enfrentarse a sanciones económicas en caso de violaciones de datos derivadas de la explotación de esta vulnerabilidad, dada la obligación de garantizar la seguridad y autenticidad de los datos personales y sistemas esenciales.

Medidas de Mitigación y Recomendaciones

Se recomienda encarecidamente a todos los responsables de seguridad, equipos DevSecOps y desarrolladores revisar sus dependencias y actualizar node-forge a la versión 1.3.1 o superior, donde el fallo ha sido corregido. Otras recomendaciones adicionales incluyen:

– Realizar un escaneado exhaustivo de dependencias mediante herramientas como npm audit, Snyk o OWASP Dependency-Check.
– Implementar controles de validación adicional sobre las firmas y datos críticos, utilizando mecanismos criptográficos redundantes.
– Monitorizar logs y actividades sospechosas asociadas a la verificación de firmas.
– Revisar procesos CI/CD para evitar despliegue de versiones vulnerables.

Opinión de Expertos

Expertos como Daniel Miessler y profesionales de OWASP han destacado la importancia de no delegar ciegamente la seguridad en librerías de terceros, recomendando una revisión periódica de dependencias y pruebas de seguridad automatizadas. “Este tipo de vulnerabilidades demuestra que la cadena de suministro de software sigue siendo uno de los mayores riesgos para la ciberseguridad empresarial”, afirma Javier Marcos, CISO de una multinacional tecnológica con sede en Madrid.

Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen node-forge en sistemas críticos están expuestas a fraude, suplantación de identidad y potenciales brechas de seguridad. Además, la posibilidad de que esta vulnerabilidad sea explotada de forma automatizada mediante frameworks como Metasploit o en cadenas de ataque más complejas (por ejemplo, con Cobalt Strike) incrementa el riesgo de campañas de ataque a gran escala.

Los usuarios finales pueden verse afectados por robo de credenciales, manipulación de datos y pérdida de confianza en los sistemas afectados.

Conclusiones

La vulnerabilidad en node-forge pone de manifiesto la necesidad de una gestión proactiva de dependencias y la revisión continua de la cadena de suministro de software. La actualización inmediata del paquete y la adopción de controles de seguridad adicionales resultan imprescindibles para mitigar el riesgo. La transparencia y la colaboración en la divulgación y resolución de vulnerabilidades siguen siendo esenciales para la resiliencia del ecosistema JavaScript.

(Fuente: www.bleepingcomputer.com)