Attraverso le attività di ricerca e sviluppo dell’Hacking Team di Sync Security, sono state rilevate due vulnerabilità Zero-Day le quali sono state segnalate attraverso una “divulgazione responsabile” al vendor che ha così potuto rilasciare un’apposita patch prima della pubblicazione sul Mitre.
Le due 0-Day si riferiscono alle CVE-2020-27662 e CVE-2020-27663 appartenenti alla famiglia delle CWE-992 (Insecure Storage of Sensitive Information), ovvero alla possibilità di accedere a informazioni sensibili presenti nel prodotto senza una attenta ed adeguata limitazione degli accessi di lettura o scrittura da parte di agenti malevoli.
In dettaglio, il software GLPI prima della versione 9.5.3 attraverso le due anomalie di Insecure Direct Object Reference (IDOR) consente ad un’utente malintenzionato di leggere i dati di qualsiasi itemType (es., Ticket, Users, etc.). A seguito dell’opportuna segnalazione ed attraverso un percorso di collaborazione reiterativo tra il Team di Sync Security ed il gruppo di Sviluppo del Vendor, è stata identificata una patch in grado di inibire l’accesso a dati di cui non si dispongono i privilegi di lettera e/o scrittura.
La possibilità intrinseca di sfruttare la vulnerabilità è stata evidente dai primi test in quanto la gestione dei token autorizzativi di qualche chiamata GET e POST dell’applicativo, per alcune funzionalità, era insufficiente. Agendo sul forgering di alcune di queste chiamate è stato possibile ingannare il controllo dell’applicazione ricevendo in risposta l’accesso ad una porzione di dati sensibili di cui inizialmente non si disponeva delle autorizzazioni.
Torna alla lista articoli