Resumen de la Vulnerabilidad en OTRS
La seguridad en software de gestión es crucial, y el sistema OTRS (Open Ticket Request System) recientemente ha emitido una advertencia sobre una vulnerabilidad significativa que afecta a varias de sus versiones. Este documento proporciona detalles sobre dicha vulnerabilidad, su impacto, y cómo los usuarios pueden mitigar los riesgos asociados.
Identificación de la Vulnerabilidad
- ID de Seguridad: OSA-2025-04
- Fecha del Aviso: 27 de enero de 2025
- Título de la Vulnerabilidad: Flash Flags faltantes
- Gravedad CVSS V3.1: 6.8 (Medio)
- Gravedad CVSS V4.0: 7.4 (Alto)
- Urgencia: Media
- Referencias: CVE-2025-24390
Descripción de la Vulnerabilidad
La vulnerabilidad se relaciona con la falta de atributos en las cookies dentro de sesionas HTTPS. Esta deficiencia en la configuración de cookies sensibles crea una puerta abierta a ataques de secuestro de sesión, lo cual podría comprometer la integridad y la seguridad de las sesiones de los usuarios en OTRS. En particular, la ausencia del atributo ‘seguro’ en las cookies de sesión hace que sean vulnerables a ataques que podrían permitir que actores maliciosos tomen control de sesiones legítimas.
Productos Afectados
Esta vulnerabilidad afecta las siguientes versiones de OTRS:
- OTRS 7.0.x
- OTRS 8.0.x
- OTRS 2023.x
- OTRS 2024.x
Es importante mencionar que la versión de OTRS 2025.1.x contiene los remedios necesarios para mitigar este problema, y no habrá actualizaciones o parches disponibles para las versiones anteriores, específicamente OTRS 7.x.
Estado del Producto
Los estados de las versiones de OTRS se categorizan de la siguiente manera:
- OTRS 7.0.x, 8.0.x, 2023.x, y 2024.x están catalogadas como vulnerables, siendo el servidor de aplicaciones OTRS y la configuración del proxy inverso las áreas afectadas.
- OTRS en su estado predeterminado no se ve afectado por esta vulnerabilidad específica.
Impacto
El impacto potencial del secuestro de sesión, identificado como CAPEC-593, es considerable, dado que permite a un atacante autenticarse como otro usuario. Esto podría resultar en el acceso no autorizado a datos delicados y acciones maliciosas que comprometan la seguridad de la infraestructura de la organización que utiliza OTRS.
Solución Recomendada
Para solucionar esta vulnerabilidad, se recomienda encarecidamente a todos los usuarios de OTRS que actualicen a la versión 2025.1.x. Al hacerlo, los usuarios pueden asegurarse de que su sistema esté protegido contra esta vulnerabilidad crítica. Sin embargo, los usuarios de versiones más antiguas, como OTRS 7.x, deben considerar alternativas, ya que no habrá parches disponibles para estas versiones.
Agradecimientos
Es importante reconocer las contribuciones de aquellos que han ayudado a identificar estas vulnerabilidades. Se extiende un agradecimiento especial a Alissa Kim por su papel en la revelación de esta vulnerabilidad, lo cual es un testimonio del valor de la colaboración en la comunidad de seguridad.
Conclusión
La gestión de vulnerabilidades es un aspecto primordial de la seguridad de los sistemas de software. A medida que OTRS continúa desarrollándose, es esencial que los usuarios mantengan sus sistemas actualizados y permanezcan alertas sobre las nuevas vulnerabilidades para mitigar los riesgos potenciales.