Oltre 30 vulnerabilità scoperte in 20 prodotti CMS

Oltre 30 vulnerabilità scoperte in 20 prodotti CMS

I ricercatori hanno identificato più di 30 vulnerabilità in 20 noti sistemi di gestione dei contenuti (CMS), tra cui Microsoft SharePoint e Atlassian Confluence.

La ricerca è stata condotta da Alvaro Muñoz di GitHub e Oleksandr Mirosh di Micro Focus Fortify e si è concentrata sui controlli di sicurezza implementati da vari framework CMS e prodotti e metodi per aggirarli.

I CMS consentono agli utenti di creare e modificare il contenuto digitale, generalmente utilizzato per la gestione dei contenuti Web e la gestione dei contenuti aziendali. I CMS sono diventati sempre più importanti per molte organizzazioni ora che la pandemia di coronavirus ha costretto molti a lavorare da remoto.

Il contenuto gestito dai CMS viene in genere archiviato in un database e visualizzato agli utenti in base a una serie di modelli. Questi modelli spesso supportano un sottoinsieme di funzionalità del linguaggio di programmazione e sono sandbox per impedire agli utenti di compromettere il server sottostante.

Muñoz e Mirosh, che hanno presentato i loro risultati la scorsa settimana alla conferenza sulla sicurezza informatica di Black Hat, si sono concentrati su .NET e prodotti basati su Java e hanno mostrato come un aggressore senza privilegi può sfuggire alle sandbox dei modelli e ottenere l'esecuzione di codice remoto.

"Nello scenario di attacco più semplice, l'attaccante ha accesso alle applicazioni CMS di destinazione, come gli utenti regolari di Sharepoint, essendo in grado di creare i propri siti e quindi di fornire i propri modelli", ha spiegato Muñoz 
"In alcuni casi siamo stati in grado di ottenere account di prova su piattaforme CMS basate su cloud ed eseguire gli attacchi dal nostro account di amministratore di prova. Questi sono stati i casi più interessanti da quando siamo stati in grado di compromettere l'infrastruttura sottostante che avrebbe potuto permetterci di avviare attacchi contro altri tenant".
"Indipendentemente dal vettore utilizzato, tuttavia, l'impatto è sempre critico poiché una volta aggirate le mitigazioni, i motori di modelli possono essere utilizzati per valutare il codice arbitrario che porta all'esecuzione di codice remoto (RCE)", ha aggiunto il ricercatore.

In SharePoint, ad esempio, hanno scoperto sei vulnerabilità legate all'esecuzione di codice in modalità remota a cui sono stati assegnati identificatori CVE. La loro analisi dei motori di template Java come Apache Velocity e FreeMarker, JinJava e Pebble ha portato all'identificazione di modi per sfuggire ai template sandbox ed eseguire codice arbitrario in prodotti come Atlassian Confluence, Apache OFBiz, XWiki, Liferay, Alfresco, Netflix Titus, Crafter CMS e dotCMS.

Muñoz ha spiegato che i metodi che hanno utilizzato per creare o modificare i modelli - inclusi gli attacchi XSS e SSTI (server-side template injection) - non sono nuovi e invece la loro ricerca si è concentrata sull'aggiramento di sandbox e mitigazioni.

I ricercatori affermano che il loro lavoro può essere utile agli sviluppatori e ai team di sicurezza che desiderano proteggere i loro prodotti e sistemi da potenziali attacchi.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.