Slack paga una ricompensa di $ 1.750 per una vulnerabilità

Slack paga una ricompensa di $ 1.750 per una vulnerabilità

Un ricercatore ha divulgato in modo responsabile molteplici vulnerabilità a Slack che hanno permesso a un utente malintenzionato di dirottare il computer di un utente e sono stati ricompensati solo con un misero $ 1.750.

Utilizzando queste vulnerabilità, un utente malintenzionato potrebbe semplicemente caricare un file e condividerlo con un altro utente o canale Slack per attivare l'exploit sull'app Slack di una vittima.

Nel suo articolo dettagliato condiviso in privato con Slack nel gennaio 2020, l'ingegnere di sicurezza Oskars Vegeris di Evolution Gaming ha condiviso ampi dettagli sulla vulnerabilità.

"Con qualsiasi reindirizzamento in-app: reindirizzamento logico / aperto, HTML o javascript injection, è possibile eseguire codice arbitrario all'interno delle app desktop Slack. Questo rapporto dimostra un exploit appositamente predisposto costituito da un'iniezione HTML, bypass del controllo di sicurezza e un payload Javascript RCE. Questo exploit è stato testato perché funzionava sulle ultime versioni di Slack per desktop (4.2, 4.3.2) (Mac / Windows / Linux) ", ha affermato Vegeris.

Molteplici vulnerabilità critiche

Il rapporto HackerOne reso pubblico dalla società questa settimana mostra che l'ingegnere elenca diversi modi in cui le app Slack possono essere sfruttate.

Il risultato finale dell'exploit sarebbe l'esecuzione di codice arbitrario sul lato client, cioè sul computer dell'utente, non sul backend di Slack.

Un utente malintenzionato potrebbe ottenere l'iniezione di HTML, l'esecuzione di codice arbitrario e anche Cross-Site Scripting (XSS) a causa della debolezza intrinseca del  codice files.slack.com .

Un solo exploit HTML / JavaScript Proof-of-Concept (PoC) pubblicato da Vegeris mostra quanto sia facile avviare l'app calcolatrice nativa, o qualsiasi altra cosa desiderino, caricando il payload su Slack.

L'URL di questo file HTML quando inserito nel   tag area di una rappresentazione di post JSON di Slack abiliterebbe un "RCE con un clic" sul computer dell'utente.

"Il collegamento URL all'interno del tag area conterrebbe questo exploit HTML / JS per le app Slack Desktop che esegue qualsiasi comando fornito dall'attaccante", ha affermato l'ingegnere.

In un altro commento, Vegeris ha detto: "Anche il keylogging segnalato in precedenza potrebbe essere applicabile", riferendosi a un bug report del 2019  presentato da Matt Langlois.

È una taglia?

Il fatto che Vegeris se ne sia andato con una taglia di bug di soli $ 1.750 dopo aver dedicato molto tempo alla divulgazione responsabile non si è adattato bene all'infosec. Comunità.

Il consenso generale su Twitter è che un'app di messaggistica per la costruzione di Slack di una società da 20 miliardi di dollari utilizzata dalle grandi aziende, avrebbe affrontato gravi conseguenze se un exploit di questo tipo fosse stato venduto sui mercati illeciti del dark web (che avrebbe guadagnato all'ingegnere ben più di $ 1.750).

Mashable ha riportato ulteriori casi simili di utenti che si scagliavano contro Slack, come questo:

Daniel Cuthbert, hacker e coautore dello standard OWASP ASVS ha dichiarato in un thread di Twitter:

"Slack, utilizzato da milioni e milioni per chat di progettazione mission-critical, DevOps, sicurezza, fusioni e acquisizioni, diavolo l'elenco è infinito. i difetti riscontrati da questo ricercatore comportano l'esecuzione di comandi arbitrari sul computer dell'utente. Il TL; DR è wow."

Cuthbert ha supplicato Slack di "pagare adeguatamente" per rapporti come questi, in quanto tali exploit avrebbero venduto molto di più sui mercati neri.

"Per tutto questo impegno, sono stati premiati $ 1750. Diciassettecento e Cinquanta dollari. @SlackHQ in primo luogo i difetti sono una preoccupazione piuttosto grande, voglio dire la convalida è difficile ma dai, poi paga correttamente, per favore. Perché questo varrebbe molto di più su exploit.in ."

In un post sul blog promozionale pubblicato da Slack due mesi fa che celebrava la sua funzione di "sandbox dell'app", invece di rivelare i dettagli di vulnerabilità che hanno portato al suo sviluppo, la società aveva anche  dimenticato  di accreditare Vegeris (questo ora è corretto ).

È stato allora che Vegeris ha richiesto una divulgazione pubblica su HackerOne questa settimana, che ha invitato a scuse sincere da Slack. 

"Mi chiamo Larkin Ryder e attualmente sto servendo come Chief Security Officer ad interim qui a Slack.  @Brandenjordan  mi ha reso consapevole di questo passo falso e ti scrivo per esprimere scuse molto sincere per qualsiasi svista nell'accreditare il tuo lavoro. Apprezziamo molto il tempo e gli sforzi che hai investito per rendere Slack più sicuro", ha affermato Ryder nel rapporto.

"Sebbene il team di sicurezza non sia l'autore di questo post del blog e l'autore non abbia visibilità sul tuo lavoro in H1, dovremmo fare i passaggi aggiuntivi per garantire che tutti coloro che hanno contribuito agli sforzi di miglioramento in quest'area siano riconosciuti. Studierò effettuando gli aggiornamenti appropriati al nostro post sul blog... Ancora una volta, mi dispiace molto per qualsiasi passo falso da parte nostra", ha continuato Ryder, ringraziando l'ingegnere.

La piattaforma proprietaria di comunicazione aziendale, Slack si vanta di avere oltre 10.000.000 di utenti attivi ogni giorno ed è un marchio riconoscibile in molti luoghi di lavoro.

Sebbene Slack possa aver corretto le vulnerabilità in poco più di cinque settimane del rapporto, casi come questi sottolineano il potenziale danno che può derivare dalle app di messaggistica mentre continuano ad aumentare il loro elenco di funzionalità (ad esempio caricamenti di file) e il numero di clienti, se ci fosse un debolezza della sicurezza.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.