Репорты простым языком
3.29K subscribers
726 photos
11 videos
81 files
1.61K links
Самые важные ИБ-репорты со всего мира простым языком.
Download Telegram
https://hackerone.com/reports/536954

Этот репорт рассказывает о потенциальной уязвимости в библиотеке http-parser, используемой в проекте Envoy для обработки HTTP/1.1 заголовков. Уязвимость заключается в том, что были обнаружены попытки внедрения в заголовки нулевых символов, что противоречит RFC ограничениям на допустимые значения заголовков. Данный репорт содержит информацию о работе над исправлением этой проблемы, а также ссылки на CVE-детали связанные с Envoy и http-parser, в которых проблема также упоминается.

Эксплуатация этой уязвимости может привести к ошибкам и неожиданным поведениям в работе программы, обидно, что это может быть использовано для проведения дальнейших атак на систему.
https://hackerone.com/reports/537047

Данный репорт описывает ошибку в web-приложении, которая может привести к открытию редиректа на внешний сайт. Описание шагов эксплуатации, позволяющих воспроизвести ошибку, также присутствует.

Если злоумышленник воспользуется данной уязвимостью, он сможет перенаправить жертву на вредоносный сайт, используя поддомен приложения. Это может упростить фишинговые атаки и привести к различным видам мошенничества с учетными данными пользователей.

В целом, репорт предоставляет информацию о вероятной угрозе, которую может создать открытый редирект в приложении, и предлагает решение для улучшения безопасности.
https://hackerone.com/reports/537564

Этот репорт описывает уязвимость web cache deception на сайте tradus.com, принадлежащем OLX team. Атакер может получить доступ к имени пользователя, user_id и другим личным данным жертвы, которые будут храниться на сервере кэша.

Для воспроизведения атаки необходимо отправить жертве ссылку на вредоносную страницу, которая запрашивает специальную страницу на tradus.com и сохраняет данные в кэше сервера. Затем атакер может получить доступ к этой странице в качестве незарегистрированного пользователя.

Эксплуатация этой уязвимости может привести к серьезному нарушению конфиденциальности данных пользователей.
https://hackerone.com/reports/537670

Этот репорт является сообщением о найденной уязвимости в приложении Zomato for Business, версии 4.2.5, для операционной системы Android. Уязвимость позволяет злоумышленнику обманным путём передавать вредоносные данные в приложение через специальный intent. Уязвимыми являются классы `com.application.zomatomerchant.deeplink.SaltDeepLinkRouterActivity` и `com.application.zomatomerchant.ZWebView`, из-за непроизведённой проверки хоста перед загрузкой в WebView. Утилиты злоумышленника позволяют выполнять вредоносный код в приложении, а также открывать произвольные веб-сайты внутри WebView. После успешной эксплуатации, злоумышленник может иметь доступ к защищённым данным владельца уязвимого приложения и заменять его содержимое на вредоносное. В данном случае уязвимость включена в программу вознаграждения за безопасность Google Play (раздел 2 - Кража небезопасных личных данных). Для устранения уязвимости необходимо произвести проверку хоста перед загрузкой в WebView.
https://hackerone.com/reports/538008

Данный репорт описывает уязвимость в системе WordPress и BuddyPress версии 5.2 и 4.2.0 соответственно. Через данную уязвимость злоумышленник может добавить пользователей в группы, которые выбрали настройку "Я хочу ограничить приглашения в группы только для друзей".

Для эксплуатации уязвимости необходимо выполнить следующие шаги:

1. Создать два аккаунта (A и B), которые не являются друзьями.
2. Установить настройку "Я хочу ограничить приглашения в группы только для друзей" для аккаунта А.
3. С помощью аккаунта B отправить POST запрос на URL: http://bbwordpress.esy.es/wp-admin/admin-ajax.php с параметрами: message, nonce, group_id, action, _wpnonce и users (заменить значение users на id жертвы - пользователя A).
4. В результате жертва (пользователь A) получит приглашение от атакующего (пользователь B), несмотря на активированную настройку приватности.

Эксплуатация данной уязвимости может привести к неконтролируемому добавлению пользователей в защищенные группы, нарушению конфиденциальности данных и связанных с этим серьезным последствиям.
https://hackerone.com/reports/538651

Это репорт о двух уязвимостях, которые были обнаружены на разных проектах.

Первая уязвимость связана с истекшим сроком домена проекта [security-template](https://github.com/EdOverflow/security-template), которая приводит к тому, что http://securitytemplate.site не отображает контент.

Вторая уязвимость связана с возможностью захвата аккаунта Twitter компании PenultimateIO. Twitter-аккаунт был удален, но осталась возможность создать новый аккаунт с тем же именем, которое было использовано раньше. Если это будет сделано злоумышленником, то это может привести к социальной инженерии.

Обе уязвимости могут нанести ущерб и должны быть исправлены.
https://hackerone.com/reports/538771

Данный репорт содержит только заголовок и начало текста сообщения об уязвимости, отправленном на платформу HackerOne от имени автора под ником Ben. Однако, на основе имеющейся информации можно предположить, что здесь предоставлен Proof of Concept (POC), то есть доказательство работоспособности уязвимости.

Шаги эксплуатации в данном случае не раскрыты, но можно предположить, что они будут использованы для получения несанкционированного доступа к защищенным данным. Возможные последствия такой эксплуатации могут быть крайне негативными, например, утечка личной информации пользователей, нарушение целостности данных и т.д.
https://hackerone.com/reports/538800

Данный репорт описывает уязвимость на веб-сайте Khan Academy. Конкретно, уязвимость заключается в отсутствии защиты от CSRF на эндпоинте /signup/email, который позволяет пользователям изменять свой email перед подтверждением его аккаунта. Это означает, что любой аккаунт, который еще не подтвержден, уязвим для атаки на забирание аккаунта (ATO).

Шаги эксплуатации для этой уязвимости включают в себя получение нового email-адреса, направление нового KA-пользователя на страницу, где отправляется POST-запрос на /signup/email с новым email-адресом атакующего, подтверждение изменения email и использование функции сброса пароля, чтобы получить доступ к аккаунту.

В результате, атакующий может получить доступ к управлению аккаунтом каждого пользователя, который еще не подтвердил свой email. Злоумышленник может использовать эту уязвимость для доступа к личным данным пользователей, не имея их email-адреса или KAID, а также совершении массовых атак, размещая ссылки на форумах и других площадках в интернете, которые могут посещать пользователи KA.
https://hackerone.com/reports/538938

Этот репорт сообщает о уязвимости в модуле `domokeeper` версии 0.2.0, который представляет собой сервер управления устройствами в домашней автоматизации на базе Raspberry Pi. Уязвимость связана с тем, что некоторые части кода, которые загружаются с помощью `require()`, можно загружать из внешнего источника, передавая путь к модулю через HTTP-запрос без какой-либо проверки его безопасности. Это может позволить злоумышленнику загрузить на сервер код, который не предназначен для запуска на сервере, или прочитать любой файл в формате JSON на сервере, включая файл `package.json`.

Для воспроизведения уязвимости нужно установить модуль `domokeeper`, запустить сервер и перейти по адресу `http://localhost:43569/plugins/.%2Fpackage.json` в браузере. В своем репорте автор также указал информацию о поддерживаемом стеке, где была найдена уязвимость, а также ссылки на соответствующие ресурсы, где можно почитать более подробно о данном типе уязвимости.

Эксплуатация данной уязвимости может привести к несанкционированному доступу к файлам на сервере и запуску нежелательного кода.
https://hackerone.com/reports/540301

Этот репорт описывает уязвимость, найденную на learn.fb.com. Определенный эндпоинт на сайте был открытым и раскрывал внутренние e-mail адреса. Автор репорта упоминает, что уязвимость была исправлена, но Facebook попросили его сообщить о ней на этой платформе для возможности получения вознаграждения.

Что касается шагов эксплуатации, то конкретно в этом случае они не описаны. Однако, учитывая, что уязвимость заключалась в том, что эндпоинт, который должен быть закрытым, был открытым, можно предположить, что эксплойт мог быть довольно простым - достаточно было обратиться к адресу эндпоинта и получить список внутренних e-mail адресов.

Последствия такой уязвимости могли быть серьезными, так как несанкционированный доступ к внутренним email-адресам может предоставлять злоумышленнику конфиденциальную информацию, например, о внутренней структуре компании или ее партнеров. Возможны также другие виды атак, использующие email-адреса в качестве стартовой точки.
https://hackerone.com/reports/540711

Этот репорт описывает уязвимость на сервере предварительного тестирования (pre-production) GitLab. Атакующий может зарегистрироваться на этом сервере, просмотреть созданные разработчиками проекты и создавать свои группы и проекты. Возможность создавать свои группы и проекты может привести к повышению привилегий и несанкционированному доступу к конфиденциальной информации разработчиков GitLab. Это может стать причиной утечки конфиденциальной информации или нарушить безопасность разработки. Конечным результатом является потенциальное проникновение в систему GitLab.
https://hackerone.com/reports/541020

Этот репорт рассказывает о уязвимости в API-методе `GetGlobalAchievementPercentagesForApp` сервиса Steam. Уязвимость заключается в том, что через этот метод можно получить информацию о названиях и процентах полученных достижений не только для уже вышедших игр, но и для тех, которые еще не были выпущены.

Такое поведение API-метода не соответствует правилам безопасности и может привести к утечке информации о достижениях для игр, процесс разработки которых еще не закончен.

Авторы репорта рекомендуют внедрить в `GetGlobalAchievementPercentagesForApp` проверки на состояние релиза, аналогичные тем, которые уже реализованы в методе `GetSchemaForGame`, чтобы предотвратить утечку информации и сохранить безопасность пользователей.
https://hackerone.com/reports/541169

Этот репорт описывает уязвимость в коде GitLab, связанную с проверкой IP-адреса. Уязвимость вызвана временем проверки на время использования (ToCToU), и она позволяет злоумышленнику отправлять GET и POST HTTP-запросы на произвольные хосты, включая localhost, облачные сервисы метаданных и локальные сети, и читать ответы HTTP.

Для выполнения атаки необходимо настроить DNS-сервер на передачу домена чередующимися IP-адресами с низким или нулевым TTL. Для демонстрации автор этого репорта использовал свой проект researchersservers с такой настройкой DNS. С помощью Web Hook в GitLab репозитории можно злоупотребить этой проблемой, отправляя HTTP-запросы GET и POST на произвольные IP-адреса, с произвольными параметрами пути.

В результате злоумышленник может скомпрометировать сервер (например, утечка токенов AWS из сервиса метаданных), а также проводить разведку и эксплуатацию хостов в локальной сети.

Шаги эксплуатации описаны в деталях в репорте, а именно необходимо создать новый репозиторий, добавить коммит, добавить интеграцию веб-хука с использованием подверженного уязвимости DNS-домена и выполнить множество параллельных запросов к целевому хосту.
Процесс эксплуатации данной уязвимости приведен автором в виде видео.
https://hackerone.com/reports/541354

Этот репорт сообщает о наличии уязвимости, выявленной в модуле `mqtt-packet` версии 6.1.1, используемом для кодирования и декодирования сообщений MQTT. Уязвимость заключается в том, что отправка специально сформированного MQTT-пакета типа Subscribe может вызвать переполнение буфера, что приведет к ошибке RangeError и краху брокеров MQTT, таких как mosca и aedes. Для эксплуатации уязвимости не требуются никакие учетные данные, что делает возможным проведение атаки DoS. В репорте приведены подробности о том, как воспроизвести данную уязвимость, а также предлагается патч. Уязвимость была сообщена разработчику и пока не была закрыта. В целом, это предупреждение об уязвимости, которая может стать причиной отказа в обслуживании сервисов MQTT, использующих данный модуль.
https://hackerone.com/reports/541502

Данный репорт описывает уязвимость в модуле `https-proxy-agent` версии 2.2.1, который используется в Node.js экосистеме. Уязвимость заключается в том, что если прокси-сервер (или брандмауэр, блокирующий запрос) отвечает на запрос не кодом 200, то модуль возвращает сокет без TLS-модификации и передает заголовки клиента по незащищенному соединению, что позволяет злоумышленнику перехватить данные и получить конфиденциальную информацию, например, HTTP заголовок авторизации.

В репорте также описаны шаги для воспроизведения уязвимости и предложен PATCH, который состоит в том, чтобы возвращать ошибку при попытке получить сокет без TLS-модификаций, если прокси-сервер возвращает код ответа, отличный от 200.

Уязвимость может позволить злоумышленнику, который имеет доступ к брандмауэру или прокси-серверу, перехватить и использовать конфиденциальную информацию, которая передается клиентом через заголовки. Это может привести к утечке данных и нарушению конфиденциальности пользователей.
https://hackerone.com/reports/541606

Этот репорт является первым от исследователя, который сообщает о потенциальной уязвимости в функции Multipass на сайте Shopify. Исследователь поясняет, что при использовании данной функции, любой человек, который знает секретный ключ, может получить доступ к личным данным всех клиентов в этом экземпляре Shopify.

Интересно, что секретный ключ находится в разделе "Настройки" в Shopify, что значит, что если сотрудник Shopify не имеет доступа к просмотру / редактированию данных клиентов, но имеет доступ к просмотру / редактированию настроек учетной записи Shopify, то этот секретный ключ поможет ему получить доступ к данным клиентов для этого экземпляра Shopify.

Исследователь описывает шаги, которые нужно выполнить, чтобы воспроизвести потенциальную уязвимость. К сожалению, у исследователя нет доступа к аккаунту Shopify Plus, чтобы проверить эту уязвимость на практике.

Если уязвимость действительно существует, то это может привести к проблемам в частной жизни клиентов, поскольку доступ к их личным данным и заказам становится возможным.
https://hackerone.com/reports/541862

Этот репорт описывает уязвимость, обнаруженную на сайте Pixiv, который используется для публикации и обмена иллюстрациями и рисунками. Исследователь установил, что Pixiv имеет механизм защиты от open redirect - любая внешняя ссылка в иллюстрации преобразуется в `https://www.pixiv.net/jump.php?<link provided by user>`. Однако этот механизм не работает для ссылок в новеллах. Автор описывает шаги для воспроизведения уязвимости: достаточно добавить ссылку с помощью тега `[[jumpuri:https://pixiv.net/ > <ваша-ссылка>]]`, где `<ваша-ссылка>` будет иметь отличный от https://pixiv.net домен, и сохранить новеллу. Это приведет к тому, что ссылка в новелле зайдет на злоумышленный сайт, а не на тот, который указан в ссылке, что может вызвать путаницу и направить пользователя на вредоносный сайт.
https://hackerone.com/reports/542180

Данный репорт содержит информацию о уязвимости в Left4Dead 2, которая была обнаружена в процедурах обработки NAV-файлов, содержащих навигационную сетку, используемую искусственным интеллектом. Уязвимость заключается в переполнении буфера, которое может быть использовано для контроля над регистром EIP и запуска выполнения кода. Автор репорта предоставляет Proof-of-Concept и инструкции по его воспроизведению. Уязвимость была проверена на операционной системе Windows 10 1809 Build 17763.437.

В случае успешной эксплуатации уязвимости злоумышленник может запустить произвольный код на машине жертвы. Автор репорта указывает на два возможных сценария атаки: создание поддельного выделенного сервера, который отправляет пользователю ошибочный NAV-файл, или загрузка кампании на Steam Workshop с ошибочным NAV-файлом, заставляющим выполнить произвольный код на машине пользователей, скачивающих эту кампанию.
https://hackerone.com/reports/542258

Этот репорт описывает уязвимость на платформе Oberlo, которая используется вместе с Shopify. Уязвимость заключается в том, что злоумышленник может внедрить вредоносный JavaScript-код на страницу, путем ввода определенного кода в поле "Name" формы на странице профиля. Это может привести к тому, что злоумышленник сможет выполнить произвольный код на стороне клиента и, таким образом, получить доступ к конфиденциальной информации пользователей (например, пароли, данные платежей и т. д.) или провести другие атаки на пользователей. Уязвимость может быть использована для нападения на любых пользователей, которые используют Oberlo вместе с Shopify. Компания Shopify была оповещена о происходящем, и, вероятно, уже исправила эту уязвимость.
https://hackerone.com/reports/542670

Этот репорт описывает уязвимость, обнаруженную при тестировании безопасности приложения Revive Adserver. Конкретно, было обнаружено, что злоумышленник может отправить специальный код на XML-RPC скрипт и инициировать вызов unserialize() на первом параметре в методе "pluginExecute" RPC. Это может привести к различным типам атак, включая PHP-уязвимости, связанные с сериализацией, или внедрение объектов PHP.

Шаги эксплуатации зависят от типа атаки, которую злоумышленник хочет провести, однако в общем случае это может включать отправку специально сформированного запроса на сервер, который может привести к выполнению кода на сервере или получению доступа к конфиденциальной информации.

Использование уязвимости может привести к серьезным последствиям для компании, включая утечку конфиденциальной информации, отказ в обслуживании или компрометацию инфраструктуры. Поэтому очень важно оперативно и эффективно реагировать на обнаруженные уязвимости, выпуская патчи и обновления для устранения рисков.
https://hackerone.com/reports/543782

Этот репорт описывает уязвимость, связанную с неограниченным использованием ресурсов из-за открытия одного файлового дескриптора на каждое соединение. Скрипт на языке Python, описанный ниже, создает "threadbomb" на сервере, и использует всю доступную память сервера. Также у клиентов, не отправляющих ничего обратно, не происходит разрыв соединения. Чтобы воспроизвести уязвимость, необходимо запустить демон и проверить, что соединение принимается. Далее нужно создать скрипт на языке Python и запустить его в качестве ROOT. Когда скрипт будет работать около двух минут, нужно снова проверить соединение с помощью команды netcat, чтобы убедиться, что услуга отказана. Уязвимость может привести к отказу в обслуживании (выделение ресурсов без ограничений или ограничение пропускной способности).