Mercoledì 28 Aprile 2021

L’hacking team di Sync Security individua una vulnerabilità Cross-Site Request Forgery (CSRF)

Nei laboratori di Sync Security sono state eseguite attività di Advanced Penetration Testing su un noto progetto di matrice open-source basato su una web application ed utilizzato per la gestione e l'ottimizzazione dei tempi. Conseguentemente, è stata identificata una vulnerabilità applicativa appartenente allo standard CWE N°352: Cross-Site Request Forgery. Tale vulnerabilità consente ad un attaccante con minime conoscenze pregresse dell'applicazione dinamica di poter ingannare un qualsivoglia utente spingendolo, attraverso tecniche di Social Engineering più o meno complesse, a compiere involontariamente azioni malevole anche di natura irreversibile.

In dettaglio, una vulnerabilità CSRF permette di inviare richieste GET/POST create appositamente dall'attaccante, che sono eseguite tipicamente mediante script all'interno del browser dell'utente vittima. Nello specifico, la vulnerabilità identificata dall'Hacking Team di Sync Security, ed il relativo vettore d'attacco associato, permette di arrivare alla compromissione completa di un: utente, privilegiato o non, attraverso la falsificazione di una richiesta incrociata in POST, definita per l'appunto "Cross-Site", che permette l'inizializzazione del processo di reset password per l'utente corrente.

Il vettore d'attacco è altrimenti noto alla community come "account takeover". Ulteriori approfondimenti hanno permesso di rendere l'exploit ancora più flessibile, rendendo possibile la generazione di diversi vettori d'attacco finalizzati alla compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).

La vulnerabilità è oggi conosciuta come CVE-2021-29436 ed è stata ufficialmente patchata nella versione 1.19.27.5431 del prodotto. L'aggiornamento è fortemente consigliato.

Passione, studio, competenza e attività di ricerca continua sono gli ingredienti necessari per ottenere risultati sempre più importanti.

Lunedì 23 Dicembre 2023

Cosa significa oggi fare Data Management?

Venerdì 2 Dicembre 2022

Cos’è la Realtà Virtuale?

Martedì 15 Novembre 2022

SyncHolo alla Rome Museum Exhibition

Martedì 15 Novembre 2022

Sync Lab con Confimi Industria per "La Sanità del prossimo futuro tra pubblico e privato"

Lunedì 7 Novembre 2022

Integration Architectures Academy - Edizione 2022

Lunedì 31 Ottobre 2022

Metaverso: come e perchè

CLIENTI

Chi crede in noi

sky
eni
enel
vodafone
accenture
fastweb
tim
trenitalia
rai
poste
mef
unicredit
regione-lazio
intesa-san-paolo
Hennes & Mauritz
grimaldi-lines
notartel
engineering

Contattaci

Cliccando il tasto INVIA accetto la privacy policy