Mercoledì 28 Aprile 2021

L’hacking team di Sync Security individua una vulnerabilità Cross-Site Request Forgery (CSRF)

Nei laboratori di Sync Security sono state eseguite attività di Advanced Penetration Testing su un noto progetto di matrice open-source basato su una web application ed utilizzato per la gestione e l'ottimizzazione dei tempi. Conseguentemente, è stata identificata una vulnerabilità applicativa appartenente allo standard CWE N°352: Cross-Site Request Forgery. Tale vulnerabilità consente ad un attaccante con minime conoscenze pregresse dell'applicazione dinamica di poter ingannare un qualsivoglia utente spingendolo, attraverso tecniche di Social Engineering più o meno complesse, a compiere involontariamente azioni malevole anche di natura irreversibile.

In dettaglio, una vulnerabilità CSRF permette di inviare richieste GET/POST create appositamente dall'attaccante, che sono eseguite tipicamente mediante script all'interno del browser dell'utente vittima. Nello specifico, la vulnerabilità identificata dall'Hacking Team di Sync Security, ed il relativo vettore d'attacco associato, permette di arrivare alla compromissione completa di un: utente, privilegiato o non, attraverso la falsificazione di una richiesta incrociata in POST, definita per l'appunto "Cross-Site", che permette l'inizializzazione del processo di reset password per l'utente corrente.

Il vettore d'attacco è altrimenti noto alla community come "account takeover". Ulteriori approfondimenti hanno permesso di rendere l'exploit ancora più flessibile, rendendo possibile la generazione di diversi vettori d'attacco finalizzati alla compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).

La vulnerabilità è oggi conosciuta come CVE-2021-29436 ed è stata ufficialmente patchata nella versione 1.19.27.5431 del prodotto. L'aggiornamento è fortemente consigliato.

Passione, studio, competenza e attività di ricerca continua sono gli ingredienti necessari per ottenere risultati sempre più importanti.

Martedì, 28 Maggio 2024

L’Italia nella top 5 degli attacchi cyber: ignorare il problema non è più una soluzione

Giovedì, 11 Aprile 2024

Sogni e Intelligenza Artificiale: alla ricerca dell'ineffabile

Lunedì, 19 Febbraio 2024

Chi avrà il controllo dei dati del nostro cervello? Il passo rivoluzionario verso la connessione Mente-Macchina

Martedì, 30 Gennaio 2024

Una Digital Transformation di successo: Intervista a Luca Griggio, CEO di Henoto World Wide

Veneredì, 19 Gennaio 2024

Il Fediverso by Meta: un progetto boicottato destinato a fallire?

Giovedì, 28 Dicembre 2023

Guidare nel Futuro: La Non-Leadership e il cambiamento dei ruoli nell'Era dell'Innovazione Digitale

CLIENTI

Chi crede in noi

logo sky
logo eni
logo enel
logo vodafone
logo accenture
logo fastweb
logo tim
logo trenitalia
logo rai
logo poste
logo mef
logo unicredit
logo regione-lazio
logo intesa-san-paolo
logo Hennes & Mauritz
logo grimaldi-lines
logo notartel
logo engineering

Contattaci

Cliccando il tasto INVIA accetto la privacy policy

Questo sito è protetto da reCAPTCHA e si applicano le norme sulla privacy e i termini di servizio di Google.