Durante le attività di Advanced Penetration Testing nei propri laboratori l’Hacking Team di Sync Security ha identificato una nuova vulnerabilità Zero-Day comunicata al vendor del prodotto attraverso la procedura di responsable disclosure, ovvero “divulgazione responsabile”.
La scopertura rilevata si riferisce alla CVE-2021-29436 ed è una vulnerabilità applicativa appartenente allo standard CWE N°352: Cross-Site Request Forgery. Questa tipo di vulnerabilità consente ad un agente malevolo, anche con minime conoscenze pregresse dell'applicazione, di poter ingannare un utente inducendo, attraverso tecniche di Social Engineering più o meno complesse, a compiere involontariamente operazioni potenzialmente dannose.
Il vettore d'attacco è altrimenti noto alla community come "account takeover". Ulteriori approfondimenti hanno permesso di rendere l'exploit ancora più flessibile, rendendo possibile la generazione di diversi vettori d'attacco finalizzati alla compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).
Durante le operazioni svolte in laboratorio è stato possibile avviare il processo di reset password di un utente, impersonando un agente malevolo, utilizzando una chiamata falsificata incrociata in una POST, da qui il nome della vulnerabilità "Cross-Site". Il vettore d’attacco appena descritto, in dettaglio, consiste nell’invio di richieste GET e/o POST create appositamente con le quali è eseguito uno script all’interno della sessione del browser dell’utente vittima, finalizzato alla compromissione dell’account sia esso previlegiato o non. La risultante del vettore d’attacco è più comunemente nota come “account takeover”
Un’analisi più approfondita ha concesso la creazione di vettori d’attacco differenti, fino alla generazione di exploit ancor più dannosi in grado di consentire la compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).
Torna alla lista articoli