Nei laboratori di Sync Security sono state eseguite attività di Advanced Penetration Testing su un noto progetto di matrice open-source basato su una web application ed utilizzato per la gestione e l'ottimizzazione dei tempi. Conseguentemente, è stata identificata una vulnerabilità applicativa appartenente allo standard CWE N°352: Cross-Site Request Forgery. Tale vulnerabilità consente ad un attaccante con minime conoscenze pregresse dell'applicazione dinamica di poter ingannare un qualsivoglia utente spingendolo, attraverso tecniche di Social Engineering più o meno complesse, a compiere involontariamente azioni malevole anche di natura irreversibile.
In dettaglio, una vulnerabilità CSRF permette di inviare richieste GET/POST create appositamente dall'attaccante, che sono eseguite tipicamente mediante script all'interno del browser dell'utente vittima. Nello specifico, la vulnerabilità identificata dall'Hacking Team di Sync Security, ed il relativo vettore d'attacco associato, permette di arrivare alla compromissione completa di un: utente, privilegiato o non, attraverso la falsificazione di una richiesta incrociata in POST, definita per l'appunto "Cross-Site", che permette l'inizializzazione del processo di reset password per l'utente corrente.
Il vettore d'attacco è altrimenti noto alla community come "account takeover". Ulteriori approfondimenti hanno permesso di rendere l'exploit ancora più flessibile, rendendo possibile la generazione di diversi vettori d'attacco finalizzati alla compromissione di più livelli della triade CIA (Confidenzialità, Integrità e Disponibilità).
La vulnerabilità è oggi conosciuta come CVE-2021-29436 ed è stata ufficialmente patchata nella versione 1.19.27.5431 del prodotto. L'aggiornamento è fortemente consigliato.
Passione, studio, competenza e attività di ricerca continua sono gli ingredienti necessari per ottenere risultati sempre più importanti.
