Репорты простым языком
3.29K subscribers
726 photos
11 videos
81 files
1.61K links
Самые важные ИБ-репорты со всего мира простым языком.
Download Telegram
https://hackerone.com/reports/535827

Этот репорт проясняет, что найдена новая уязвимость в коде mruby. Появление этой уязвимости связано с использованием небезопасной операции склеивания строк `strcat`, которая может привести к переполнению буфера памяти и в результате - к прекращению работы mruby. Кроме того, уязвимость может быть использована для контроля за потоком выполнения через компрометацию стека.

Для устранения уязвимости необходимо проверять размер буфера памяти перед использованием операции `strcat` и увеличивать его, если это необходимо. В отчете представлен пример предлагаемого патча, который может решить проблему.
https://hackerone.com/reports/536341

Этот репорт сообщает о наличии уязвимости на сайте https://auto.mail.ru, которая позволяет злоумышленнику выполнить атаку XSS (внедрение произвольного JavaScript кода в ответ приложения). Для воспроизведения атаки нужно перейти по определенной ссылке в браузере Firefox, и после этого скрипт будет выполнен.

В отчете также указывается, что атакующий может использовать данную уязвимость для обхода политики безопасности Same Origin Policy (SOP) и получения доступа к чувствительной информации приложения, такой как cookie-файлы и csrf-токены, а также для выполнения других видов атак.

Эксплуатация данной уязвимости может привести к серьезному сбою в работе приложения, а также к утечке конфиденциальных данных пользователей. Преступники могут использовать эту информацию для проведения дальнейших атак на пользователей или на само приложение.
https://hackerone.com/reports/536669

Этот репорт описывает уязвимость, связанную с отправкой логина и пароля пользователя в заголовке Authorization (HTTP basic auth) при тестировании настроек HTTP target extension в Zendesk. Данные отправляются в открытом виде без защищенного подключения. Уязвимость классифицирована как средняя, так как для успешной атаки нужны некоторые условия (браузер-специфичность) и действие жертвы.
Возможный сценарий атаки - создание 3-го сервиса, который используется через HTTP target extension, на котором мошенники собирают логины и пароли пользователей. Реализация атаки может быть успешной, если пользователь неправильно настроил свои настройки HTTP target, сохраняя свои данные логина и пароля. Общий ущерб, который может быть причинен этой уязвимостью - кража учетных данных у пользователей без их согласия и ведома.
https://hackerone.com/reports/536853

Этот репорт описывает уязвимость IDOR (Insecure Direct Object Reference) на сайте ctf.hacker101.com. Пользователь может получить доступ к информации о нескольких еще не опубликованных уровнях игры CTF. Для этого нужно создать группу на сайте и перейти на страницу вашего профиля, где вы увидите неопубликованные уровни внизу страницы. Эта информация может быть интересной для тех, кто участвует в соревнованиях, где предусмотрены призы за первый прохождения игры.

При использовании этой уязвимости могут возникнуть проблемы в конкурсных ситуациях, когда несколько пользователей участвуют в соревновании за первое место в прохождении CTF.

Разработчики данного сайта должны исправить эту уязвимость, чтобы предотвратить несанкционированный доступ к данным и возможные претензии участников из-за неравных условий участия в соревновании.
https://hackerone.com/reports/536954

Этот репорт рассказывает о потенциальной уязвимости в библиотеке http-parser, используемой в проекте Envoy для обработки HTTP/1.1 заголовков. Уязвимость заключается в том, что были обнаружены попытки внедрения в заголовки нулевых символов, что противоречит RFC ограничениям на допустимые значения заголовков. Данный репорт содержит информацию о работе над исправлением этой проблемы, а также ссылки на CVE-детали связанные с Envoy и http-parser, в которых проблема также упоминается.

Эксплуатация этой уязвимости может привести к ошибкам и неожиданным поведениям в работе программы, обидно, что это может быть использовано для проведения дальнейших атак на систему.
https://hackerone.com/reports/537047

Данный репорт описывает ошибку в web-приложении, которая может привести к открытию редиректа на внешний сайт. Описание шагов эксплуатации, позволяющих воспроизвести ошибку, также присутствует.

Если злоумышленник воспользуется данной уязвимостью, он сможет перенаправить жертву на вредоносный сайт, используя поддомен приложения. Это может упростить фишинговые атаки и привести к различным видам мошенничества с учетными данными пользователей.

В целом, репорт предоставляет информацию о вероятной угрозе, которую может создать открытый редирект в приложении, и предлагает решение для улучшения безопасности.
https://hackerone.com/reports/537564

Этот репорт описывает уязвимость web cache deception на сайте tradus.com, принадлежащем OLX team. Атакер может получить доступ к имени пользователя, user_id и другим личным данным жертвы, которые будут храниться на сервере кэша.

Для воспроизведения атаки необходимо отправить жертве ссылку на вредоносную страницу, которая запрашивает специальную страницу на tradus.com и сохраняет данные в кэше сервера. Затем атакер может получить доступ к этой странице в качестве незарегистрированного пользователя.

Эксплуатация этой уязвимости может привести к серьезному нарушению конфиденциальности данных пользователей.
https://hackerone.com/reports/537670

Этот репорт является сообщением о найденной уязвимости в приложении Zomato for Business, версии 4.2.5, для операционной системы Android. Уязвимость позволяет злоумышленнику обманным путём передавать вредоносные данные в приложение через специальный intent. Уязвимыми являются классы `com.application.zomatomerchant.deeplink.SaltDeepLinkRouterActivity` и `com.application.zomatomerchant.ZWebView`, из-за непроизведённой проверки хоста перед загрузкой в WebView. Утилиты злоумышленника позволяют выполнять вредоносный код в приложении, а также открывать произвольные веб-сайты внутри WebView. После успешной эксплуатации, злоумышленник может иметь доступ к защищённым данным владельца уязвимого приложения и заменять его содержимое на вредоносное. В данном случае уязвимость включена в программу вознаграждения за безопасность Google Play (раздел 2 - Кража небезопасных личных данных). Для устранения уязвимости необходимо произвести проверку хоста перед загрузкой в WebView.
https://hackerone.com/reports/538008

Данный репорт описывает уязвимость в системе WordPress и BuddyPress версии 5.2 и 4.2.0 соответственно. Через данную уязвимость злоумышленник может добавить пользователей в группы, которые выбрали настройку "Я хочу ограничить приглашения в группы только для друзей".

Для эксплуатации уязвимости необходимо выполнить следующие шаги:

1. Создать два аккаунта (A и B), которые не являются друзьями.
2. Установить настройку "Я хочу ограничить приглашения в группы только для друзей" для аккаунта А.
3. С помощью аккаунта B отправить POST запрос на URL: http://bbwordpress.esy.es/wp-admin/admin-ajax.php с параметрами: message, nonce, group_id, action, _wpnonce и users (заменить значение users на id жертвы - пользователя A).
4. В результате жертва (пользователь A) получит приглашение от атакующего (пользователь B), несмотря на активированную настройку приватности.

Эксплуатация данной уязвимости может привести к неконтролируемому добавлению пользователей в защищенные группы, нарушению конфиденциальности данных и связанных с этим серьезным последствиям.
https://hackerone.com/reports/538651

Это репорт о двух уязвимостях, которые были обнаружены на разных проектах.

Первая уязвимость связана с истекшим сроком домена проекта [security-template](https://github.com/EdOverflow/security-template), которая приводит к тому, что http://securitytemplate.site не отображает контент.

Вторая уязвимость связана с возможностью захвата аккаунта Twitter компании PenultimateIO. Twitter-аккаунт был удален, но осталась возможность создать новый аккаунт с тем же именем, которое было использовано раньше. Если это будет сделано злоумышленником, то это может привести к социальной инженерии.

Обе уязвимости могут нанести ущерб и должны быть исправлены.
https://hackerone.com/reports/538771

Данный репорт содержит только заголовок и начало текста сообщения об уязвимости, отправленном на платформу HackerOne от имени автора под ником Ben. Однако, на основе имеющейся информации можно предположить, что здесь предоставлен Proof of Concept (POC), то есть доказательство работоспособности уязвимости.

Шаги эксплуатации в данном случае не раскрыты, но можно предположить, что они будут использованы для получения несанкционированного доступа к защищенным данным. Возможные последствия такой эксплуатации могут быть крайне негативными, например, утечка личной информации пользователей, нарушение целостности данных и т.д.
https://hackerone.com/reports/538800

Данный репорт описывает уязвимость на веб-сайте Khan Academy. Конкретно, уязвимость заключается в отсутствии защиты от CSRF на эндпоинте /signup/email, который позволяет пользователям изменять свой email перед подтверждением его аккаунта. Это означает, что любой аккаунт, который еще не подтвержден, уязвим для атаки на забирание аккаунта (ATO).

Шаги эксплуатации для этой уязвимости включают в себя получение нового email-адреса, направление нового KA-пользователя на страницу, где отправляется POST-запрос на /signup/email с новым email-адресом атакующего, подтверждение изменения email и использование функции сброса пароля, чтобы получить доступ к аккаунту.

В результате, атакующий может получить доступ к управлению аккаунтом каждого пользователя, который еще не подтвердил свой email. Злоумышленник может использовать эту уязвимость для доступа к личным данным пользователей, не имея их email-адреса или KAID, а также совершении массовых атак, размещая ссылки на форумах и других площадках в интернете, которые могут посещать пользователи KA.
https://hackerone.com/reports/538938

Этот репорт сообщает о уязвимости в модуле `domokeeper` версии 0.2.0, который представляет собой сервер управления устройствами в домашней автоматизации на базе Raspberry Pi. Уязвимость связана с тем, что некоторые части кода, которые загружаются с помощью `require()`, можно загружать из внешнего источника, передавая путь к модулю через HTTP-запрос без какой-либо проверки его безопасности. Это может позволить злоумышленнику загрузить на сервер код, который не предназначен для запуска на сервере, или прочитать любой файл в формате JSON на сервере, включая файл `package.json`.

Для воспроизведения уязвимости нужно установить модуль `domokeeper`, запустить сервер и перейти по адресу `http://localhost:43569/plugins/.%2Fpackage.json` в браузере. В своем репорте автор также указал информацию о поддерживаемом стеке, где была найдена уязвимость, а также ссылки на соответствующие ресурсы, где можно почитать более подробно о данном типе уязвимости.

Эксплуатация данной уязвимости может привести к несанкционированному доступу к файлам на сервере и запуску нежелательного кода.
https://hackerone.com/reports/540301

Этот репорт описывает уязвимость, найденную на learn.fb.com. Определенный эндпоинт на сайте был открытым и раскрывал внутренние e-mail адреса. Автор репорта упоминает, что уязвимость была исправлена, но Facebook попросили его сообщить о ней на этой платформе для возможности получения вознаграждения.

Что касается шагов эксплуатации, то конкретно в этом случае они не описаны. Однако, учитывая, что уязвимость заключалась в том, что эндпоинт, который должен быть закрытым, был открытым, можно предположить, что эксплойт мог быть довольно простым - достаточно было обратиться к адресу эндпоинта и получить список внутренних e-mail адресов.

Последствия такой уязвимости могли быть серьезными, так как несанкционированный доступ к внутренним email-адресам может предоставлять злоумышленнику конфиденциальную информацию, например, о внутренней структуре компании или ее партнеров. Возможны также другие виды атак, использующие email-адреса в качестве стартовой точки.
https://hackerone.com/reports/540711

Этот репорт описывает уязвимость на сервере предварительного тестирования (pre-production) GitLab. Атакующий может зарегистрироваться на этом сервере, просмотреть созданные разработчиками проекты и создавать свои группы и проекты. Возможность создавать свои группы и проекты может привести к повышению привилегий и несанкционированному доступу к конфиденциальной информации разработчиков GitLab. Это может стать причиной утечки конфиденциальной информации или нарушить безопасность разработки. Конечным результатом является потенциальное проникновение в систему GitLab.
https://hackerone.com/reports/541020

Этот репорт рассказывает о уязвимости в API-методе `GetGlobalAchievementPercentagesForApp` сервиса Steam. Уязвимость заключается в том, что через этот метод можно получить информацию о названиях и процентах полученных достижений не только для уже вышедших игр, но и для тех, которые еще не были выпущены.

Такое поведение API-метода не соответствует правилам безопасности и может привести к утечке информации о достижениях для игр, процесс разработки которых еще не закончен.

Авторы репорта рекомендуют внедрить в `GetGlobalAchievementPercentagesForApp` проверки на состояние релиза, аналогичные тем, которые уже реализованы в методе `GetSchemaForGame`, чтобы предотвратить утечку информации и сохранить безопасность пользователей.
https://hackerone.com/reports/541169

Этот репорт описывает уязвимость в коде GitLab, связанную с проверкой IP-адреса. Уязвимость вызвана временем проверки на время использования (ToCToU), и она позволяет злоумышленнику отправлять GET и POST HTTP-запросы на произвольные хосты, включая localhost, облачные сервисы метаданных и локальные сети, и читать ответы HTTP.

Для выполнения атаки необходимо настроить DNS-сервер на передачу домена чередующимися IP-адресами с низким или нулевым TTL. Для демонстрации автор этого репорта использовал свой проект researchersservers с такой настройкой DNS. С помощью Web Hook в GitLab репозитории можно злоупотребить этой проблемой, отправляя HTTP-запросы GET и POST на произвольные IP-адреса, с произвольными параметрами пути.

В результате злоумышленник может скомпрометировать сервер (например, утечка токенов AWS из сервиса метаданных), а также проводить разведку и эксплуатацию хостов в локальной сети.

Шаги эксплуатации описаны в деталях в репорте, а именно необходимо создать новый репозиторий, добавить коммит, добавить интеграцию веб-хука с использованием подверженного уязвимости DNS-домена и выполнить множество параллельных запросов к целевому хосту.
Процесс эксплуатации данной уязвимости приведен автором в виде видео.
https://hackerone.com/reports/541354

Этот репорт сообщает о наличии уязвимости, выявленной в модуле `mqtt-packet` версии 6.1.1, используемом для кодирования и декодирования сообщений MQTT. Уязвимость заключается в том, что отправка специально сформированного MQTT-пакета типа Subscribe может вызвать переполнение буфера, что приведет к ошибке RangeError и краху брокеров MQTT, таких как mosca и aedes. Для эксплуатации уязвимости не требуются никакие учетные данные, что делает возможным проведение атаки DoS. В репорте приведены подробности о том, как воспроизвести данную уязвимость, а также предлагается патч. Уязвимость была сообщена разработчику и пока не была закрыта. В целом, это предупреждение об уязвимости, которая может стать причиной отказа в обслуживании сервисов MQTT, использующих данный модуль.
https://hackerone.com/reports/541502

Данный репорт описывает уязвимость в модуле `https-proxy-agent` версии 2.2.1, который используется в Node.js экосистеме. Уязвимость заключается в том, что если прокси-сервер (или брандмауэр, блокирующий запрос) отвечает на запрос не кодом 200, то модуль возвращает сокет без TLS-модификации и передает заголовки клиента по незащищенному соединению, что позволяет злоумышленнику перехватить данные и получить конфиденциальную информацию, например, HTTP заголовок авторизации.

В репорте также описаны шаги для воспроизведения уязвимости и предложен PATCH, который состоит в том, чтобы возвращать ошибку при попытке получить сокет без TLS-модификаций, если прокси-сервер возвращает код ответа, отличный от 200.

Уязвимость может позволить злоумышленнику, который имеет доступ к брандмауэру или прокси-серверу, перехватить и использовать конфиденциальную информацию, которая передается клиентом через заголовки. Это может привести к утечке данных и нарушению конфиденциальности пользователей.
https://hackerone.com/reports/541606

Этот репорт является первым от исследователя, который сообщает о потенциальной уязвимости в функции Multipass на сайте Shopify. Исследователь поясняет, что при использовании данной функции, любой человек, который знает секретный ключ, может получить доступ к личным данным всех клиентов в этом экземпляре Shopify.

Интересно, что секретный ключ находится в разделе "Настройки" в Shopify, что значит, что если сотрудник Shopify не имеет доступа к просмотру / редактированию данных клиентов, но имеет доступ к просмотру / редактированию настроек учетной записи Shopify, то этот секретный ключ поможет ему получить доступ к данным клиентов для этого экземпляра Shopify.

Исследователь описывает шаги, которые нужно выполнить, чтобы воспроизвести потенциальную уязвимость. К сожалению, у исследователя нет доступа к аккаунту Shopify Plus, чтобы проверить эту уязвимость на практике.

Если уязвимость действительно существует, то это может привести к проблемам в частной жизни клиентов, поскольку доступ к их личным данным и заказам становится возможным.
https://hackerone.com/reports/541862

Этот репорт описывает уязвимость, обнаруженную на сайте Pixiv, который используется для публикации и обмена иллюстрациями и рисунками. Исследователь установил, что Pixiv имеет механизм защиты от open redirect - любая внешняя ссылка в иллюстрации преобразуется в `https://www.pixiv.net/jump.php?<link provided by user>`. Однако этот механизм не работает для ссылок в новеллах. Автор описывает шаги для воспроизведения уязвимости: достаточно добавить ссылку с помощью тега `[[jumpuri:https://pixiv.net/ > <ваша-ссылка>]]`, где `<ваша-ссылка>` будет иметь отличный от https://pixiv.net домен, и сохранить новеллу. Это приведет к тому, что ссылка в новелле зайдет на злоумышленный сайт, а не на тот, который указан в ссылке, что может вызвать путаницу и направить пользователя на вредоносный сайт.