Se ha publicado una vulnerabilidad calificada como crítica en la aplicación de la popular red social Instagram para sistemas operativos Android e iOS.
CVE-2020-1895: Se trata de una vulnerabilidad de ejecución remota de código (RCE) que podría permitir a un atacante bloquear la aplicación de Instagram, tomar el control total de la cuenta del usuario autenticado en la aplicación o incluso acceder al dispositivo, de manera que pueda espiar la cámara o el micrófono, entre otros. Para su explotación, un atacante tan solo tendría que enviar una imagen especialmente diseñada al usuario a través de cualquier sistema de mensajería, que el usuario la guarde en el dispositivo y, posteriormente, abra la aplicación de Instagram.
En concreto, la vulnerabilidad se ubica en Mozjpeg, proyecto de código abierto empleado como decodificador de formato JPEG por Instagram. Debido a un mal manejo de los tamaños de las imágenes en formato JPEG, se podría producir un desbordamiento del buffer, es decir, la memoria temporal, durante el proceso de compresión, lo que deriva en repercusiones graves en la memoria. Un atacante que lograse modificar una imagen de tal manera que Instagram la trate como si tuviera un tamaño menor de lo que en realidad tiene, podría robar el flujo de ejecución de la aplicación y llevar a cabo la ejecución de código dentro del contexto del usuario actual.
La base de datos del NIST ha asignado al CVE-2020-1895 una puntuación de 7.8 según la escala CVSSv3. Si bien, por el momento no se tiene conocimiento de la explotación activa de la vulnerabilidad, ni la existencia de exploits públicamente disponibles que aprovechen la vulnerabilidad.
Recursos afectados:
- Versiones anteriores a 128.0.0.26.128 de la aplicación de Instagram para dispositivos Android.
- Para sistemas operativos iOS, la investigación no detalla qué versiones son vulnerables.
Solución a la vulnerabilidad:
La vulnerabilidad fue solucionada por Facebook en la versión de Instagram para Android 128.0.0.26.12 publicada en febrero de 2020. Si la opción de “Actualizar automáticamente” se encuentra habilitada en el dispositivo, esta se debería haberse llevado a cabo de forma automática por esa fecha.
Si bien, esta versión puede ser actualizada a través de la plataforma de descarga oficial Play Store para dispositivos con sistema operativo Android, y en el caso de dispositivos Apple, se recomienda actualizar a la última versión estable disponible en App Store, siendo esta la 160.1.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, Facebook no ha publicado medidas de mitigación alternativas a la propia actualización.
De manera adicional, para comprobar qué versión de la aplicación Instagram se encuentra instalada en el dispositivo, se recomienda consultar el listado de aplicaciones instaladas a través de los “Ajustes” y, posteriormente, “Manage Apps” para Android y “Storage & iCloud Usage” para iOS.
Referencias:
