HACKING

Κυνηγός bug βρίσκει σφάλμα στο δίκτυο του Υπουργείου Άμυνας των ΗΠΑ

This post was originally published on this site

Το Υπουργείο Άμυνας των ΗΠΑ έχει επιδιορθώσει μια σοβαρή ευπάθεια που επηρεάζει το εσωτερικό του δίκτυο, το οποίο θα επέτρεπε στους απειλητικούς παράγοντες να παραβιάσουν λογαριασμούς DOD, τροποποιώντας μερικές παραμέτρους στα web requests που αποστέλλονται στους servers του DOD.

Η ευπάθεια ανακαλύφθηκε από τον Jeff Steinburg, ερευνητή ασφαλείας στην αμερικανική εταιρεία ασφαλείας Silent Breach, αναφέρθηκε ιδιωτικά και διορθώθηκε μέσω του προγράμματος γνωστοποίησης ευπάθειας του DOD (VDP).

Το ζήτημα έλαβε βαθμολογία σοβαρότητας “Κρίσιμο (9 ~ 10)” επειδή το bug απαιτούσε ελάχιστες τεχνικές δεξιότητες από τον εισβολέα για να γίνει exploit και hijack ένας οποιοσδήποτε λογαριασμός DOD.

Ο ερευνητής κέρδισε το βραβείο “Researcher of the Month” για το bug που εντόπισε στους λογαριασμούς DOD.

Ενώ ορισμένες λεπτομέρειες σχετικά με το σφάλμα αποκαλύφθηκαν σήμερα, μια πλήρης αναφορά για την προστασία της ασφάλειας του δικτύου του Υπουργείου Άμυνας των ΗΠΑ (DOD) δεν ξέρουμε πότε θα είναι διαθέσιμη.

Σύμφωνα με αυτήν τη συνοπτική αναφορά, το σφάλμα κατηγοριοποιήθηκε ως ευπάθεια Ασφαλούς Άμεσης Αναφοράς Αντικειμένου (IDOR), ένα σφάλμα όπου λείπουν οι έλεγχοι ασφαλείας από μια εφαρμογή, επιτρέποντας στους χάκερ να τροποποιήσουν μερικές παραμέτρους χωρίς πρόσθετους ελέγχους ταυτότητας.

Στην περίπτωση του DOD, το σφάλμα θα επέτρεπε σε έναν εισβολέα να λάβει ένα νόμιμο web request που στάλθηκε σε έναν ιστότοπο DOD, να τροποποιήσει τις παραμέτρους του user ID και του ονόματος χρήστη και ο ιστότοπος DOD θα επέτρεπε στον εισβολέα να αλλάξει τον κωδικό πρόσβασης του λογαριασμού DOD (οποιουδήποτε χρήστη) – ο οποίος θα επέτρεπε στους χάκερ να εισβάλουν σε λογαριασμούς και αργότερα να παραβιάσουν το δίκτυο του DOD.

Σήμερα, τα σφάλματα IDOR θεωρούνται εύκολο να βρεθούν λόγω της πληθώρας των αυτοματοποιημένων εργαλείων που τα αποκαλύπτουν σε μια λιγότερο χρονοβόρα διαδικασία.

Το DOD διόρθωσε το σφάλμα προσθέτοντας έναν μηχανισμό περιόδου λειτουργίας χρήστη στο σύστημα των λογαριασμών DOD, εμποδίζοντας τους εισβολείς από το να τροποποιήσουν τις παραμέτρους χωρίς να κάνουν έλεγχο της ταυτότητας στον ιστότοπο πρώτα.

Πηγή: zdnet.com

https://www.secnews.gr/security/feed



%d bloggers like this: