Репорты простым языком
3.29K subscribers
726 photos
11 videos
81 files
1.61K links
Самые важные ИБ-репорты со всего мира простым языком.
Download Telegram
https://hackerone.com/reports/674741

Данный репорт описывает четыре уязвимости, найденные в examples directory на сайте министерства обороны США. В отчете приведены детали каждой уязвимости, а также инструкции по их повторному воспроизведению.

Первая уязвимость связана с Session Manipulation, которая может привести к компрометации аккаунта. Доступ к глобальной сессии может предоставить злоумышленнику права администратора.

Вторая уязвимость связана с Insecure Cookie Handling, которая означает ненадежную обработку куки.

Третья уязвимость связана с Source Code Disclosure and an "Execute" option, что может привести к утечке и использованию конфиденциальной информации.

Четвертая уязвимость связана с Internal IP disclosure, которая означает разглашение внутреннего IP-адреса.

Оповещен руководитель отдела обороны и рекомендовано отключение общедоступного доступа к examples directory как можно скорее.
https://hackerone.com/reports/674757

Этот репорт относится к уязвимости безопасности на сайте HackerOne. Отчет содержит информацию об обновлении интерфейса, которое позволяет хакерам видеть информацию о количестве выплаченных вознаграждений за последние 90 дней. Автор отчета считает, что это может быть нежелательной функцией, которая может раскрыть конфиденциальные данные в случаях, когда программы не показывают общую сумму выплат. Для эксплуатации уязвимости автор предлагает использовать автоматизированный скрипт, который будет отслеживать количество выплат.

Эксплуатация этой уязвимости может позволить злоумышленникам получить конфиденциальную информацию о вознаграждениях, которые были выплачены за последние 90 дней. Это может привести к утечкам конфиденциальных данных, а также к ошеломлению нарушителей, которые могут использовать эту информацию для дальнейших атак на сайт или компанию.
👍1
https://hackerone.com/reports/674774

Этот репорт описывает уязвимость, найденную в проекте GitHub/MoPub-Android-Mediation, которая связана с хранением конфиденциальных данных - API-ключа AppLovin. Ключ является чувствительной информацией и был захардкожен в исходном коде проекта, что позволяет другим разработчикам использовать его и получать доступ к монетизации. Репорт содержит ссылку на местоположение API-ключа в исходном коде и рекомендацию убрать его из публичного доступа, так как это угрожает безопасности компании.

Шаги эксплуатации могут быть следующими:
- Зная API-ключ, злоумышленник может использовать его в своих целях и получать доступ к монетизации;
- Также, копия ключа может стать доступна широкому кругу людей и компаний, что приведет к утечке конфиденциальных данных и нарушению безопасности;
- Возможна атака на интеграцию AppLovin, если злоумышленник использует API-ключ в своих целях, таких как установка нежелательной рекламы и т.п.

Поэтому рекомендуется удалить этот API-ключ из исходного кода и защитить его от публичного доступа, чтобы предотвратить возможную потерю данных и защитить интеграцию с AppLovin.
https://hackerone.com/reports/674838

Этот репорт связан с обнаружением уязвимости SQL-инъекции на веб-странице с формой https://███████/███████/MSI.portal. Уязвимость заключается в том, что поле MSI_queryType формы подвержено time-based SQL-инъекции, что можно использовать для выполнения команд от имени пользователя базы данных. Уязвимость была проверена с помощью инструмента sqlmap, который определил тип базы данных и права пользователей. Автор предупреждает о критическом уровне уязвимости, поскольку злоумышленник сможет читать и записывать информацию в базу данных, изменять содержание, запускать вредоносные коды и получать доступ к всей системе, содержащей базу данных. Для предотвращения атак необходимо очищать параметры, прежде чем обрабатывать их как запросы к базе данных, а также наложить ограничение на количество запросов, которые могут быть отправлены на веб-сайт.
👍1
https://hackerone.com/reports/674866

Этот репорт описывает уязвимость, которая позволяет пользователю получить доступ к информации о переписках, из которых он вышел. Если пользователь создаст переписку и покинет ее, он не сможет получить доступ к ней через API или веб-интерфейс. Однако, есть один конкретный API-запрос, который позволяет получить доступ к этой информации, если пользователь является создателем переписки.

Шаги эксплуатации описанной уязвимости просты: нужно создать переписку, покинуть ее, а затем использовать определенный API-запрос, который возвращает информацию о переписках, созданных пользователем, включая те, из которых он вышел.

Эта уязвимость может привести к утечке конфиденциальной информации, так как пользователь может получить доступ к перепискам, которые ему уже недоступны, и прочитать их содержимое.
https://hackerone.com/reports/675398

Этот репорт описывает уязвимость, связанную с небезопасным дизайном веб-сайта WakaTime. Чтобы воспроизвести эту уязвимость, нужно зарегистрироваться на этом сайте, залогиниться в свою учетную запись и зайти на страницу своего публичного профиля. Затем нужно изменить своё имя и при этом удалить токен csrf из запроса, который отправляется на сервер. Если это сделать, то изменения будут сохранены.

Эта уязвимость может привести к нарушению принципов безопасной разработки и защиты данных пользователей. Например, злоумышленник может получить возможность изменять данные других пользователей, используя ту же самую технику перехвата и изменения запросов. Это может привести к краже личных данных и нарушению конфиденциальности. Кроме того, злоумышленник может использовать эту уязвимость для проведения атаки, направленной на внедрение зловредного кода на сервер. Поэтому данную уязвимость необходимо устранить как можно скорее.
https://hackerone.com/reports/675578

Этот репорт описывает уязвимость CVE-2019-11041 в PHP, которую исследователь нашел и сообщил. Проблема заключается в том, что когда расширение PHP EXIF анализирует EXIF-данные изображения с помощью функции exif_read_data (), в версиях PHP 7.1.x ниже 7.1.31, 7.2.x ниже 7.2.21 и 7.3.x ниже 7.3.8 можно подать данные, что приведет к чтению за пределами выделенного буфера. Как результат, это может привести к раскрытию информации или краху. Уязвимость была исправлена, и ей был присвоен идентификатор CVE-2019-11041.
https://hackerone.com/reports/675580

Этот репорт описывает обнаружение уязвимости в PHP EXIF extension, связанной с чтением памяти за пределами выделенного буфера. Уязвимость может быть использована злоумышленником для получения конфиденциальной информации или вызова аварийного завершения программы.
Шаги эксплуатации могут включать в себя передачу злоумышленником определенных данных в функцию exif_read_data(), что вызовет чтение памяти за пределами выделенного буфера.
В данном случае уязвимость была исправлена в новых версиях PHP и получила идентификатор CVE-2019-11042.
https://hackerone.com/reports/676581

В данном репорте описывается уязвимость на платформе Coda. Уязвимость заключается в том, что можно использовать запросы к API без необходимости аутентификации. Злоумышленник может воспользоваться идентификаторами любого открытого документа и подключения к Github для использования формулы, предоставляющей доступ к API Github. С помощью этой уязвимости, злоумышленник может искать код во всех частных репозиториях, к которым у пользователя, связанного с указанным подключением, есть доступ.

Для эксплуатации уязвимости необходимо выполнить ряд шагов описанных в разделе "Steps To Reproduce". Как результат эксплуатации может быть получен доступ к коду в частных репозиториях Github и нарушение конфиденциальности данных.
https://hackerone.com/reports/676710

Этот репорт говорит о потенциальной проблеме в node-сервере, связанной с неудачной обработкой запросов клиентов и мультиплексирования потоков. Конкретно, когда сервер получает запрос и закрепляет его за соединением, объект ответа response может оставаться открытым, даже если соединение уже разорвано. Это может привести к открытию большого количества хэндлеров, что может привести к истощению системных ресурсов или возникновению ошибок на других серверах, к которым запрос был произведен.

Шаги эксплуатации этой уязвимости требуют выполнения условий, когда к серверу приходят запросы и он не обрабатывает их должным образом. Атакующий может отправить большое количество запросов и разорвать соединение раньше, чем закончится обработка, что приведет к описанной выше проблеме.

Эксплуатация этой уязвимости может привести к DOS-атаке на целевой сервер или истощению системных ресурсов и привести к недоступности системы до ее перезапуска.
https://hackerone.com/reports/676976

Данный репорт описывает ошибку в платформе GitLab, которая позволяет неавторизованным пользователям получать доступ к важным отчетам (отчетам о сканировании контейнеров и зависимостей), которые должны быть видны только отдельной группе пользователей с особыми правами. В описании репорта приводятся шаги для воспроизведения ошибки, а также ожидаемое и фактическое поведение системы. По мнению автора репорта, данная ошибка может привести к серьезным последствиям, так как неавторизованные пользователи могут получить доступ к информации о найденных уязвимостях в приложении и использовать эту информацию для атаки на целевое приложение.
https://hackerone.com/reports/677557

Этот репорт описывает уязвимость связанную с HTTP/2 very early push в версиях Apache HTTPD от 2.4.20 до 2.4.39. Уязвимость позволяет перезаписывать память в пуле запроса, ведущая к аварийному завершению сервера. Хотя эта уязвимость не демонстрирует выполнение кода, она все-таки может повлиять на выполнение кода, если злоумышленник сможет контролировать заголовки ответа. В отчете также описываются конкретные шаги эксплуатации уязвимости, которые могут привести к частичному или полному отказу в обслуживании сервера. В зависимости от контекста и условий использования, максимальным риском может быть выполнение кода на сервере.
https://hackerone.com/reports/677955

Данный репорт сообщает о наличии уязвимости Path Traversal в опции `indexFile`, передаваемой как аргумент в функцию `Server.prototype.serveDir` модуля node-static версии 0.7.11. Уязвимость позволяет злоумышленнику произвольно читать файлы с компьютера, на котором работает сервер `node-static`. Если уязвимость эксплуатируется, то любой доступный на компьютере файл может быть передан клиенту. Эксплойт возможен как для сервера, запущенного как приложение Node.js, так и для сервера, запущенного из CLI. Для эксплойта необходимо выполнить несколько шагов, включающих установку node-static и конфигурацию параметра `indexFile`, после чего открыть в браузере страницу `http://127.0.0.1:8080`. Эксплуатация уязвимости может привести к чтению конфиденциальных данных и нарушению конфиденциальности. В репорте также сообщается, что автор связался с разработчиками, чтобы сообщить об уязвимости, и опубликовал ишью в репозитории модуля.
https://hackerone.com/reports/678050

Этот репорт описывает уязвимость на сайте Liberapay, связанную с тем, что изначальная сессия не инвалидируется после смены пароля, что позволяет злоумышленнику продолжать использовать скомпрометированную сессию.

Для эксплуатации уязвимости следует открыть два аккаунта в двух разных браузерах, изменить пароль на одном из них и продолжить использовать действующую сессию на втором аккаунте даже после обновления страницы. Уязвимость не позволяет завершать активные сессии при изменении пароля, что противоречит рекомендациям OWASP.

Эта уязвимость может привести к возможности злоумышленника продолжать использовать аккаунт пользователя на Liberapay, что может привести к утечке личной информации, финансовой информации, а также к возможности совершения финансовых мошенничеств.
https://hackerone.com/reports/678487

Этот репорт описывает уязвимость в методе `url.parse()` Node.js, которая может приводить к обману имени хоста (hostname spoofing). На примере использования `url.parse()` с URL-адресами, содержащими нестандартные символы, автор репорта демонстрирует, что результат разбора таких URL-адресов может быть искажен, что может привести к созданию фиктивных имен хостов, затрудняющих определение идентичности реального сервера.

При использовании этой уязвимой версии `url.parse()` веб-приложения или сервисы могут иметь другую точку определения, что может приводить к открытому перенаправлению и высокому риску безопасности, такому как Server-Side Request Forgery (SSRF) и другие атаки.

Для уменьшения риска рекомендуется обновлять Node.js до версии, в которой `url.parse()` больше не подвержен hostsplit, либо использовать библиотеки парсинга URL-адресов, которые не страдают от этой уязвимости.
https://hackerone.com/reports/678496

Этот репорт описывает уязвимости в программном обеспечении Pulse Secure SSL VPN, которые могут привести к удаленному выполнению кода с привилегиями root и доступу к интранету за VPN. В отчете приведен конкретный пример эксплойта уязвимости, который позволяет злоумышленнику читать учетные данные в открытом виде и авторизоваться в VPN. Затем атакующий может использовать другую уязвимость для выполнения команд с привилегиями root. Чтобы исправить эту уязвимость, рекомендуется обновить программное обеспечение Pulse Secure SSL VPN, а также реализовать проверку сертификатов, чтобы усилить безопасность доступа.
https://hackerone.com/reports/678727

Данный репорт описывает потенциальную уязвимость в Nextcloud, которая может привести к удаленному выполнению кода (RCE) и cross-site scripting (XSS) атакам через загрузку файла, требующую учетной записи пользователя и настройки по умолчанию. Чтобы использовать эту уязвимость, злоумышленнику необходимо загрузить PHP-скрипт на сервер с расположенным файлом данных внутри папки Nextcloud сервера и знать имя пользователя.
Ясно описаны шаги для этого метода атаки и предложены возможные меры предотвращения уязвимости, такие как использование уникальных имен учетных записей и настройку другой конфигурации. Главный эффект от этой уязвимости - потенциальная возможность удаленного выполнения кода и XSS-атаки.
https://hackerone.com/reports/678989

Этот репорт описывает уязвимость в модуле crypto-js версии 3.1.9-1. Уязвимость заключается в использовании не надежного источника случайности (Math.random ()) в качестве единственного источника энтропии при создании "случайного" массива 32-битных слов. Это может привести к тому, что злоумышленник сможет предсказывать значения, которые генерирует данная функция.

Для проверки уязвимости можно использовать команды node --random_seed=42 -e "console.log(require('crypto-js').lib.WordArray.random(16))", которые симулируют инициализацию случайного значения с сидом 42 и вычисление случайного массива из 16 байт. При повторном вызове этого же метода у функции из crypto-js должен получаться такой же результат.

Решением проблемы является замена Math.random () на window.crypto.getRandomValues (для браузера) и require('crypto').randomBytes (для Node.js) в качестве генератора случайного числа.

Автор репорта не связался с разработчиками модуля для уведомления их об уязвимости или создал Issue в связанном репозитории.

Эта уязвимость может привести к возможности предсказания значений, создаваемых функцией из crypto-js, которые считаются безопасными для шифрования.
https://hackerone.com/reports/679657

Краткий перевод данного репорта: автор сообщает команде MyCrypto, что на сайте about.mycrypto.com есть два неиспользуемых аккаунта в социальных сетях Twitter, ссылки на которые приведены. В доказательство предоставлены скриншоты с уже удаленными твитами и копии профилей. Автор отмечает, что это может быть использовано для фишинговых атак.

Шаги эксплуатации в данном случае могут быть осуществлены злоумышленниками, которые могут зарегистрировать аккаунты с теми же именами или попытаться выдать себя за владельцев реальных аккаунтов "rika_sukenik" и "sharonmanriquej". Это может использоваться для различных видов кибератак, в том числе фишинга и социальной инженерии.

Если эти аккаунты будут использоваться для похожих атак, это может серьезно навредить бренду MyCrypto и ущемить доверие пользователей. Если команда MyCrypto не зафиксирует эту проблему, то это может привести к реальным последствиям и угрозам для информационной безопасности.
https://hackerone.com/reports/679907

В этом репорте описывается уязвимость в онлайн-играх Roblox, которую может использовать читер/эксплойтер. Они могут повесить любой игровой сервер с помощью скрипта из пяти строк, который отправляет большую некорректную строку через SayMessageRequest, что приводит к зависанию сервера. Это работает в любой игре, которая имеет этот удаленный доступ (remote access). Эксплойт может быть легко использован, особенно если у злоумышленника есть средство для «выполнения скрипта”.

В отчете приведен способ повторения этого эксплойта, а также отмечено, что если это сделать в студии Roblox, то может повиснуть и сама программа, но можно найти обходное решение для этой проблемы, выполнив эксплойт на локальном сервере с 2-3 игроками.

Уязвимость может привести к зависанию/заморозке любого игрового сервера, что может нарушить игровой процесс и негативно повлиять на пользовательский опыт.
https://hackerone.com/reports/679969

Этот репорт описывает уязвимость в приложении Slack для MacOS версии 4.0.2. Автор репорта провел тестирование и выявил возможность проведения инъекции кода. Он показывает шаги эксплуатации этой уязвимости - для этого нужно выполнить некоторые действия в настройках приложения Slack для MacOS, чтобы изменить цвет фона на определенный код. Это приведет к тому, что приложение перестанет работать и не будет запускаться даже после повторной установки.

Если бы эта тема была распространена среди пользователей Slack, то у них также была бы невозможность использовать приложение.

Автор также отмечает, что возможно, используя только CSS, провести эксфильтрацию сообщений. Однако, у него не получилось разработать пример эксплуатации этой возможности полностью, поэтому он отметил это как низкий приоритет уязвимости.

Таким образом, если злоумышленник получит доступ к компьютеру пользователя и сможет провести подобную инъекцию кода, пользователь Slack не сможет пользоваться приложением и может потерять некоторые данные, при условии, что успешно будет разработан пример эксплуатации на похищение данных.