Slack paga una ricompensa di $ 1.750 per una vulnerabilità
31 Agosto 2020 - Tempo di lettura: 15 minuti
Un ricercatore ha divulgato in modo responsabile molteplici vulnerabilità a Slack che hanno permesso a un utente malintenzionato di dirottare il computer di un utente e sono stati ricompensati solo con un misero $ 1.750.
Utilizzando queste vulnerabilità, un utente malintenzionato potrebbe semplicemente caricare un file e condividerlo con un altro utente o canale Slack per attivare l'exploit sull'app Slack di una vittima.
Nel suo articolo dettagliato condiviso in privato con Slack nel gennaio 2020, l'ingegnere di sicurezza Oskars Vegeris di Evolution Gaming ha condiviso ampi dettagli sulla vulnerabilità.
"Con qualsiasi reindirizzamento in-app: reindirizzamento logico / aperto, HTML o javascript injection, è possibile eseguire codice arbitrario all'interno delle app desktop Slack. Questo rapporto dimostra un exploit appositamente predisposto costituito da un'iniezione HTML, bypass del controllo di sicurezza e un payload Javascript RCE. Questo exploit è stato testato perché funzionava sulle ultime versioni di Slack per desktop (4.2, 4.3.2) (Mac / Windows / Linux) ", ha affermato Vegeris.
Molteplici vulnerabilità critiche
Il rapporto HackerOne reso pubblico dalla società questa settimana mostra che l'ingegnere elenca diversi modi in cui le app Slack possono essere sfruttate.
Il risultato finale dell'exploit sarebbe l'esecuzione di codice arbitrario sul lato client, cioè sul computer dell'utente, non sul backend di Slack.
Un utente malintenzionato potrebbe ottenere l'iniezione di HTML, l'esecuzione di codice arbitrario e anche Cross-Site Scripting (XSS) a causa della debolezza intrinseca del codice files.slack.com .
Un solo exploit HTML / JavaScript Proof-of-Concept (PoC) pubblicato da Vegeris mostra quanto sia facile avviare l'app calcolatrice nativa, o qualsiasi altra cosa desiderino, caricando il payload su Slack.
L'URL di questo file HTML quando inserito nel tag area di una rappresentazione di post JSON di Slack abiliterebbe un "RCE con un clic" sul computer dell'utente.
"Il collegamento URL all'interno del tag area conterrebbe questo exploit HTML / JS per le app Slack Desktop che esegue qualsiasi comando fornito dall'attaccante", ha affermato l'ingegnere.
In un altro commento, Vegeris ha detto: "Anche il keylogging segnalato in precedenza potrebbe essere applicabile", riferendosi a un bug report del 2019 presentato da Matt Langlois.
È una taglia?
Il fatto che Vegeris se ne sia andato con una taglia di bug di soli $ 1.750 dopo aver dedicato molto tempo alla divulgazione responsabile non si è adattato bene all'infosec. Comunità.
Il consenso generale su Twitter è che un'app di messaggistica per la costruzione di Slack di una società da 20 miliardi di dollari utilizzata dalle grandi aziende, avrebbe affrontato gravi conseguenze se un exploit di questo tipo fosse stato venduto sui mercati illeciti del dark web (che avrebbe guadagnato all'ingegnere ben più di $ 1.750).
Mashable ha riportato ulteriori casi simili di utenti che si scagliavano contro Slack, come questo:
Daniel Cuthbert, hacker e coautore dello standard OWASP ASVS ha dichiarato in un thread di Twitter:
"Slack, utilizzato da milioni e milioni per chat di progettazione mission-critical, DevOps, sicurezza, fusioni e acquisizioni, diavolo l'elenco è infinito. i difetti riscontrati da questo ricercatore comportano l'esecuzione di comandi arbitrari sul computer dell'utente. Il TL; DR è wow."
Cuthbert ha supplicato Slack di "pagare adeguatamente" per rapporti come questi, in quanto tali exploit avrebbero venduto molto di più sui mercati neri.
"Per tutto questo impegno, sono stati premiati $ 1750. Diciassettecento e Cinquanta dollari. @SlackHQ in primo luogo i difetti sono una preoccupazione piuttosto grande, voglio dire la convalida è difficile ma dai, poi paga correttamente, per favore. Perché questo varrebbe molto di più su exploit.in ."
In un post sul blog promozionale pubblicato da Slack due mesi fa che celebrava la sua funzione di "sandbox dell'app", invece di rivelare i dettagli di vulnerabilità che hanno portato al suo sviluppo, la società aveva anche dimenticato di accreditare Vegeris (questo ora è corretto ).
È stato allora che Vegeris ha richiesto una divulgazione pubblica su HackerOne questa settimana, che ha invitato a scuse sincere da Slack.
"Mi chiamo Larkin Ryder e attualmente sto servendo come Chief Security Officer ad interim qui a Slack. @Brandenjordan mi ha reso consapevole di questo passo falso e ti scrivo per esprimere scuse molto sincere per qualsiasi svista nell'accreditare il tuo lavoro. Apprezziamo molto il tempo e gli sforzi che hai investito per rendere Slack più sicuro", ha affermato Ryder nel rapporto.
"Sebbene il team di sicurezza non sia l'autore di questo post del blog e l'autore non abbia visibilità sul tuo lavoro in H1, dovremmo fare i passaggi aggiuntivi per garantire che tutti coloro che hanno contribuito agli sforzi di miglioramento in quest'area siano riconosciuti. Studierò effettuando gli aggiornamenti appropriati al nostro post sul blog... Ancora una volta, mi dispiace molto per qualsiasi passo falso da parte nostra", ha continuato Ryder, ringraziando l'ingegnere.
La piattaforma proprietaria di comunicazione aziendale, Slack si vanta di avere oltre 10.000.000 di utenti attivi ogni giorno ed è un marchio riconoscibile in molti luoghi di lavoro.
Sebbene Slack possa aver corretto le vulnerabilità in poco più di cinque settimane del rapporto, casi come questi sottolineano il potenziale danno che può derivare dalle app di messaggistica mentre continuano ad aumentare il loro elenco di funzionalità (ad esempio caricamenti di file) e il numero di clienti, se ci fosse un debolezza della sicurezza.
