Nell’ambito delle attività di Cybersecurity dell’Hacking Team di Sync Security, al fine di rilevare le vulnerabilità che un agente potenzialmente malevolo può sfruttare per creare un vettore d’attacco, sono state identificate tre nuove Zero-Day prontamente segnalate al Vendor.
Le tre vulnerabilità si riferiscono alle CVE-2021-21255, CVE-2021-21326 e CVE-2021-21324 rispettivamente appartenenti alle macro famiglie CWE-862 (Missing Authorization) e CWE-639 (Authorization Bypass Through User-Controlled Key). Nel primo caso è concesso l’accesso ad una risorsa/dato senza un adeguato controllo sulle autorizzazioni, mentre nel secondo non è impedito ad un utente di accedere ai dati di un altro utente modificando il valore chiave che li identifica.
Attraverso le due Insecure Direct Object Reference (IDOR), è stato possibile muoversi all'interno delle entità presenti e di esfiltrare i contenuti dalle tabelle del database tramite oggetti PHP (items). Con la Horizontal Privilege Escalation si è riusciti invece ad aprire un ticket per conto di altri utenti (admin incluso), anche se il metodo di delega è stato disabilitato. Il software affetto da queste vulnerabilità è GLPI in versioni precedenti alla 9.5.4, di cui se ne consiglia fortemente l’aggiornamento.
Nello specifico è stato possibile enumerare tutti i nomi degli elementi presenti nel software utilizzando il modulo di ricerca knowbase, dopo aver acceduto con un’utenza con privilegi minimi e selezionando un qualsiasi ticket. Tale vulnerabilità è stata identificata analizzando le variabili contenute nella richiesta la quale modifica ha concesso l’accesso a dati e risorse in maniera potenzialmente malevola. È stato inoltre segnalata come l’utilizzo di id incrementali in chiaro consente la sfruttabilità della debolezza anche attraverso dei semplici tentativi basati su ipotesi.
Torna alla lista articoli