Una vulnerabilidad de ejecución remota de código en Bitdefender, conocido como CVE-2020-8102 fue descubierto recientemente. Más específicamente, la vulnerabilidad residía en el componente del navegador Safepay en la solución de seguridad.
CVE-2020-8102: Resumen técnico
Aquí está la descripción oficial de CVE-2020-8102:
Vulnerabilidad de validación de entrada incorrecta en el componente del navegador Safepay de Bitdefender Total Security 2020 permite un externo, página web especialmente diseñada para ejecutar comandos remotos dentro del proceso Safepay Utility. Este problema afecta a Bitdefender Total Security 2020 versiones anteriores a 24.0.20.116.
El vulnerabilidad fue revelado por Wladimir Palant, el desarrollador original de AdBlock Plus. La falla se debe a la forma en que Bitdefender protege a los usuarios de certificados no válidos.
Como parte de su funcionalidad de Protección en línea, Bitdefender Antivirus inspeccionará conexiones HTTPS seguras. En lugar de dejar el manejo de errores al navegador, Bitdefender por alguna razón prefiere mostrar sus propias páginas de error. Esto es similar a como lo hacía Kaspersky pero sin la mayoría de los efectos adversos. Sin embargo, la consecuencia es que los sitios web pueden leer algunos tokens de seguridad de estas páginas de error, el investigador dijo en su informe.
Cuando se le presenta un certificado SSL no válido o caducado, la mayoría de los navegadores solicitan al usuario que acepte el certificado con una advertencia. Bitdefender también actúa de manera similar. Si un usuario elige ignorar la advertencia, conocido como HSTS (Seguridad de transporte estricta de HTTP), esto generalmente no se considera un riesgo de seguridad.
Sin embargo, si la URL dentro de la barra de direcciones permanece constante, la solución de seguridad sería engañada para compartir tokens de seguridad entre la página sospechosa y todos los demás sitios alojados en el mismo servidor y que se ejecutan dentro del entorno de navegación virtual Safepay de Bitdefender. Este problema se ha visto anteriormente en los productos Kaspersky. Esto es lo que dice el investigador sobre esto:
La URL en la barra de direcciones del navegador no cambia. En lo que respecta al navegador, esta página de error se originó en el servidor web y no hay ninguna razón por la cual otras páginas web del mismo servidor no puedan acceder a ella. Cualesquiera que sean los tokens de seguridad que contiene, los sitios web pueden leerlos, un problema que hemos visto en los productos de Kaspersky antes.
También hay una prueba de concepto que demuestra cómo funciona la vulnerabilidad. Para ello, Palant usó un servidor web local e inicialmente un SSL válido que cambió con uno no válido poco después del primer.
Palant demostró este comportamiento a través de un PoC en el que tenía un servidor web que se ejecutaba localmente y presentaba un certificado SSL válido en la primera solicitud, pero cambiaba a uno no válido inmediatamente después..