Close

18 Novembre 2014

Vulnerabilità zero-day in appointment booking pro 2.0.7 rc3 per joomla

Nell’ambito delle attività di ricerca ed innovazione del Distretto Cyber Security a Cosenza, un giovane ricercatore Italiano (Antonio Piccolo) ed un Cyber Security Analyst (Giantonio Chiarelli), hanno individuato nel mese di Agosto 2014 una “vulnerabilità 0-day” che affligge “Appointment Booking Pro” (ABPro) v2.0.7 RC3, un componente di Joomla, il noto Content Managment System (CMS). Il componente in questione – la cui funzionalità è quella di gestire le prenotazioni online in portali web basati su Joomla e che offrono servizi di booking – è vulnerabile ad attacchi di tipo SQL injection a causa della mancata validazione di alcuni parametri applicativi.

Rocco Mammoliti (Poste Italiane, Responsabile Tecnico-Scientifico e Coordinatore del Distretto Cyber Security) spiega che “la mancata validazione dell’input in numerose pagine PHP, consente ad un attaccante di introdurre codice arbitrario malevolo tramite tecniche di SQL Injection. Sfruttando tale vulnerabilità, un utente malintenzionato potrebbe (i) estrarre dati identificativi e di pagamento gestiti dal componente e (ii) disporre di una shell remota che gli consentirebbe di avere pieno accesso al server web che ospita il CMS Joomla.
Così facendo, il malintenzionato disporrebbe del pieno controllo del server che potrebbe essere adoperato a sua volta per condurre ulteriori attacchi informatici. Da una prima stima, è emerso che sono numerosi i portali di booking che potrebbero essere impattati dalla vulnerabilità identificata e pertanto è elevato il rischio che un cittadino possa a sua insaputa utilizzare un sistema vulnerabile”.

Durante le attività di analisi della vulnerabilità i due giovani esperti di sicurezza hanno prodotto (i) un Proof-of-Concept per la verifica della vulnerabilità ed (ii) un report tecnico inclusivo dei possibili scenari di attacco attuabili e di suggerimenti per le opportune azioni di rientro.
Seguendo i principi etici del responsible disclosure, il Computer Emergency Response Team di Poste Italiane ha confermato l’esistenza e le modalità di sfruttamento della vulnerabilità. In accordo con il vendor è stato stabilito un arco temporale di 45 giorni per le attività di responsible disclosure, di implementazione di fix atte a mitigare/sanare la vulnerabilità e per la non divulgazione pubblica di informazioni inerenti quanto riscontrato. Il vendor, in data 20 ottobre 2014, ha recepito pienamente il disclosure svolto dal PICERT attraverso il rilascio della versione v2.0.8 di ABPro che indirizza la vulnerabilità segnalata.

La vulnerabilità è stata inclusa dal “MITRE” all’interno del “National Vulnerability Database” gestito dal “National Institute of Standard and Technology” (NIST); così facendo, gli operatori di sicurezza di tutto il mondo possono accedere ad informazioni descrittive della vulnerabilità riscontrata ricercando all’interno del database l¹identificativo universale CVE-2014-8470.

Domenico Saccà (UNICAL, Direttore della Ricerca Scientifica del Distretto Cyber Security) riconoscendo che “l’importante vulnerabilità identificata è frutto delle sinergie e del connubio di competenze ed innovazione che trova vita presso il Distretto Cyber Security”, è entusiasta del risultato raggiunto; il Professore ribadisce che la vulnerabilità identificata “rappresenta una chiara conferma della validità della strada intrapresa dal Distretto Cyber Security, e della indiscutibile esigenza di creare sempre più forti legami tra il mondo accademico e quello industriale”.

“Attraverso questo ennesimo e concreto esempio tecnico”, continua Rocco Mammoliti di Poste, “il Distretto Cyber Security si fa strada sempre di più tra le realtà innovative e produttive del Sud Italia, una terra che è ricca degli elementi costituenti la nuova economia digitale: i cervelli, la sete di sapere e la determinazione di raggiungere obiettivi che vanno ben al di là delle storiche limitazioni geografiche ed economico-sociali di questa terra.”.

Vulnerabilità zero-day in appointment booking pro 2.0.7 rc3 per joomla ultima modifica: 2014-11-18T11:29:43+02:00 da Cyrano

18 Novembre 2014