L’hacking team di Sync Security individua una vulnerabilità Cross-Site Request Forgery (CSRF)

Le attività di ricerca e sviluppo condotte dall'hacking team di Sync Security nell'ambito offensive della sicurezza, hanno permesso la scoperta di una nuova vulnerabilità 0-DAY.

Nei laboratori di Sync Security sono state eseguite attività di Advanced Penetration Testing su un noto progetto di matrice open-source basato su una web application ed utilizzato per la gestione e l'ottimizzazione dei tempi. Conseguentemente, è stata identificata una vulnerabilità applicativa appartenente allo standard CWE N°352: Cross-Site Request Forgery. Tale vulnerabilità consente ad un attaccante con minime conoscenze pregresse dell'applicazione dinamica di poter ingannare un qualsivoglia utente spingendolo, attraverso tecniche di Social Engineering più o meno complesse, a compiere involontariamente azioni malevole anche di natura irreversibile.

In dettaglio, una vulnerabilità CSRF permette di inviare richieste GET/POST create appositamente dall'attaccante, che sono eseguite tipicamente mediante script all'interno del browser dell'utente vittima. Nello specifico, la vulnerabilità identificata dall'Hacking Team di Sync Security, ed il relativo vettore d'attacco associato, permette di arrivare alla compromissione completa di un: utente, privilegiato o non, attraverso la falsificazione di una richiesta incrociata in POST, definita per l'appunto "Cross-Site", che permette l'inizializzazione del processo di reset password per l'utente corrente.

Il vettore d'attacco è altrimenti noto alla community come "account takeover". Ulteriori approfondimenti hanno permesso di rendere l'exploit ancora più flessibile, rendendo possibile la generazione di diversi vettori d'attacco finalizzati alla compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).

La vulnerabilità è oggi conosciuta come CVE-2021-29436 ed è stata ufficialmente patchata nella versione 1.19.27.5431 del prodotto. L'aggiornamento è fortemente consigliato.

Passione, studio, competenza e attività di ricerca continua sono gli ingredienti necessari per ottenere risultati sempre più importanti.

NEWS

Virtual Fair 2021: Sync Lab presenta la sua azienda come incubatore di idee e professionalità

Virtual Fair 2021: Sync Lab presenta la sua azienda come incubatore di idee e professionalità

CONTINUA A LEGGEREnext-icon

SAP, Netsuite e Odoo: comparazione tra software di gestione di G2

SAP, Netsuite e Odoo: comparazione tra software di gestione di G2

CONTINUA A LEGGEREnext-icon

Telespazio e Sync Lab offriranno soluzioni rivoluzionarie nell’ambito del settore marittimo

Telespazio e Sync Lab offriranno soluzioni rivoluzionarie nell’ambito del settore marittimo

CONTINUA A LEGGEREnext-icon

Restiamo in contatto

Siamo qui per ascoltarti


Allega un file:

synclab