Investigador sin ética abre la puerta a hackers

Al descubrir fallas en los códigos, los investigadores deben notificar a los responsables de estos para evitar que los hackers los aprovechen.

La publicación del descubrimiento de vulnerabilidades en Webmin, permitió que un hacker implantara una blackdoor, con lo que un usuario malintencionado afecta a los usuarios de esta herramienta.

Webmin es una herramienta que permite la configuración de sistemas operativos, así como el control de muchas aplicaciones libres y equipos conectados a una misma red. entre los usuarios de esta herramienta se encuentran aquellos que operan con sistema operativo Unix, así como los que emplean servidores Linux, FreeBSD y OpenBSD.

Este puerto de entrada que fue implantado por un hacker aprovechando una vulnerabilidad, estuvo oculto en el sistema durante más de un año y compromete a más de 3 millones de usuarios, considerando que es una herramienta que registra ese número de descargas al año.

El problema con esta backdoor es que permite a un atacante remoto ejecutar órdenes en los servidores afectados al agregar un simple comando, además de que no se dio notificación de la presentación pública de la vulnerabilidad aprovechada por el hacker.

Hasta el momento, uno de los responsables del proyecto, Joe Cooper señaló que ya se reconstruyeron los códigos de respuesta desde la fuente en una infraestructura nueva en la que se ha verificado la ausencia de código malicioso.

Para explotar el código malicioso, su instalación de Webmin debe tener Webmin -> Configuración de Webmin -> Autenticación -> Política de caducidad de contraseña establecida en Solicitar a los usuarios con contraseñas caducadas que ingresen una nueva.”, dijo Cooper en su Blog.

Además sugirió a los usuarios actualizar Webmin en caso de que empleen la función de ejecución remota de código, ya que en caso de ser explotada la vulnerabilidad puede traer problemas graves para los usuarios.

Los problemas éticos tras este descubrimiento

La vulnerabilidad en Webmin pudo ser aprovechada debido a que el programador que la descubrió la hizo pública sin haber notificado antes a los desarrolladores de esta herramienta.

Si este tipo de descubrimientos se llegan a publicar con frecuencia, sin avisar a los involucrados en ello, cualquier persona malintencionada los puede aprovechar sin problema.

Por ello el propio Cooper tacha de poco ética la manera de actuar del investigador que dio a conocer los problemas que encontró.

Al mostrar las vulnerabilidades sin dar oportunidad a los responsables de herramientas o aplicaciones el hecho de corregirlas antes de que salgan a la luz se está entregando a los hackers un arma muy poderosa.

Publicar vulnerabilidades de esa manera además de ser irresponsable es equiparable a traicionar la confianza de quienes usan herramientas digitales, ya que lo que se entrega es información que permite tomar por asalto a los usuarios.

Cooper señaló que apenas detectaron el problema se pusieron a trabajar en él, además de que indicó que los programadores que actúan de manera responsable y le avisan al equipo sobre las vulnerabilidades que encuentran antes de divulgarlas incluso reciben un pago por ello.

“Entonces, si usted es un investigador de seguridad y divulga sus hallazgos de manera responsable, no dude en contactarnos con cualquier cosa que encuentre. Pagamos”, señala en su texto.

Como ejemplo de ello el responsable señaló el caso de un investigador que recibió recompensa por notificar los problemas que encontró en XSS, mismos que son abordados por la actualización lanzada por el equipo y que se encuentra en la actualización CVE-2019-15107.