Оффлайн
- Регистрация
- 14.05.16
- Сообщения
- 11.398
- Реакции
- 501
- Репутация
- 0
В корпоративном мессенджере Slack можно пачками захватывать чужие аккаунты
17.03.2020, Вт, 10:21, Мск , Текст: Роман Георгиев
Исправленная разработчиками уязвимость позволяла перехватывать файлы cookie сессий Slack и получать доступ ко всей информации аккаунта.
На автомате
Уязвимость в популярнейшем бизнес-приложении Slack могла приводить к захвату аккаунтов посторонними, причем перехват контроля можно было автоматизировать. Slack уже выпустил исправление.
Эксперт по безопасности и профессиональный охотник за уязвимостями Эван Кастодио (EvanCustodio) осенью 2019 г. обнаружил в Slack уязвимость класса HTTPRequestsmugglingCL.TE. Такие атаки направлены на рассинхронизацию клиентского (frontend) и внутреннего (backend) интерфейса веб-сервера, в результате чего злоумышленник может «контрабандой» провести HTTP-запрос в обход фронтенда.
Атаки HTTPrequestsmuggling включают в себя также размещение в одном запросе заголовков Content-Length и Transfer-Encoding, а заодно манипулирование ими, чтобы фронтенд- и бэкенд-серверы обрабатывали запрос по-разному. В случае CL.TE речь идет о том, что фронтенд использует заголовок Content-Length, а внутренний интерфейс — Transfer-Encoding. Атака позволяет использовать разные значения для заголовков, чтобы вынудить бэкенд обрабатывать запрос нужным злоумышленнику образом.
Уязвимость в Slack допускала серийный захват аккаунтов
Кастодио прицельно искал данные уязвимости, используя инструменты собственного изготовления. О найденных проблемах он известил разработчиков Slack еще в ноябре 2019 г. Те исправили проблему в течение суток и выплатили Кастодио вознаграждение в размере $6500.
Абсолютно критический характер
По словам Кастодио, данный баг носил «абсолютно критический» характер и для Slack, и для клиентов платформы, поскольку в случае успешной его эксплуатации злоумышленники могли получать доступ к большей части клиентской информации.
Мало того, злоумышленники в теории могли бы создать ботов, которые в автоматическом режиме перехватывали бы файлы cookie для каждой сессии. Дальше злоумышленнику достаточно их использовать в браузере, чтобы перехватить контроль над чужим аккаунтом и вывести из него всю интересующую его информацию. Таким образом, перехват контроля над аккаунтами можно было без особого труда автоматизировать.
«Slack действительно очень популярен в бизнес-среде, так что последствия эксплуатации данной уязвимости могли быть весьма широкомасштабными, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Возможность автоматизировать атаки означает, что проводить их могли все желающие, вне зависимости от уровня технической подготовки. И разработчикам Slack, и многочисленным его пользователям очень повезло, что первым проблему выявил независимый “этический хакер”. Подобные истории снимают вопросы о том, нужны ли независимые исследователи в сфере информбезопасности».
You must be registered for see links
You must be registered for see links
17.03.2020, Вт, 10:21, Мск , Текст: Роман Георгиев
Исправленная разработчиками уязвимость позволяла перехватывать файлы cookie сессий Slack и получать доступ ко всей информации аккаунта.
На автомате
Уязвимость в популярнейшем бизнес-приложении Slack могла приводить к захвату аккаунтов посторонними, причем перехват контроля можно было автоматизировать. Slack уже выпустил исправление.
Эксперт по безопасности и профессиональный охотник за уязвимостями Эван Кастодио (EvanCustodio) осенью 2019 г. обнаружил в Slack уязвимость класса HTTPRequestsmugglingCL.TE. Такие атаки направлены на рассинхронизацию клиентского (frontend) и внутреннего (backend) интерфейса веб-сервера, в результате чего злоумышленник может «контрабандой» провести HTTP-запрос в обход фронтенда.
Атаки HTTPrequestsmuggling включают в себя также размещение в одном запросе заголовков Content-Length и Transfer-Encoding, а заодно манипулирование ими, чтобы фронтенд- и бэкенд-серверы обрабатывали запрос по-разному. В случае CL.TE речь идет о том, что фронтенд использует заголовок Content-Length, а внутренний интерфейс — Transfer-Encoding. Атака позволяет использовать разные значения для заголовков, чтобы вынудить бэкенд обрабатывать запрос нужным злоумышленнику образом.
Уязвимость в Slack допускала серийный захват аккаунтов
Кастодио прицельно искал данные уязвимости, используя инструменты собственного изготовления. О найденных проблемах он известил разработчиков Slack еще в ноябре 2019 г. Те исправили проблему в течение суток и выплатили Кастодио вознаграждение в размере $6500.
Абсолютно критический характер
По словам Кастодио, данный баг носил «абсолютно критический» характер и для Slack, и для клиентов платформы, поскольку в случае успешной его эксплуатации злоумышленники могли получать доступ к большей части клиентской информации.
Мало того, злоумышленники в теории могли бы создать ботов, которые в автоматическом режиме перехватывали бы файлы cookie для каждой сессии. Дальше злоумышленнику достаточно их использовать в браузере, чтобы перехватить контроль над чужим аккаунтом и вывести из него всю интересующую его информацию. Таким образом, перехват контроля над аккаунтами можно было без особого труда автоматизировать.
«Slack действительно очень популярен в бизнес-среде, так что последствия эксплуатации данной уязвимости могли быть весьма широкомасштабными, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Возможность автоматизировать атаки означает, что проводить их могли все желающие, вне зависимости от уровня технической подготовки. И разработчикам Slack, и многочисленным его пользователям очень повезло, что первым проблему выявил независимый “этический хакер”. Подобные истории снимают вопросы о том, нужны ли независимые исследователи в сфере информбезопасности».
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links