PT-2009-42: Cross-Site Request Forgery в Kayako Support Suite

(PT-2009-42) Уведомление безопасности Positive Technologies
Cross-Site Request Forgery в Kayako Support Suite

Уязвимое ПО

Kayako Support Suite
Версия 3.60.04 stable и, возможно, более ранние

Ссылка на приложение:
http://www.kayako.com/

Рейтинг опасности

Уровень опасности:   Средний
Воздействие:         Cross-Site Request Forgery
Вектор атаки:        Удаленный

CVSS v2:
Base Score:     7
Temporal Score: 5.2
Vector:         (AV:N/AC:M/Au:S/C:C/I:P/A:N/E:U/RL:O/RC:C)

CVE:   отсутствует

Описание программного обеспечения

Kayako Support Suite – система технической поддержки HelpDesk.

Описание уязвимости

Positive Technologies Research Team обнаружили уязвимости «межсайтовая подмена запросов» в приложении Kayako Support Suite.

Приложение не обеспечивает необходимую защиту от атак данного класса во всех операциях, производимых администратором, и некоторых операциях staff'а.

Данный тип атак направлен на имитацию запроса пользователя к стороннему сайту. Эта уязвимость достаточно широко распространена из-за особенностей архитектуры большинства веб-приложений, а именно из-за того, что многие веб-приложения не могут точно определить, действительно ли запрос сформирован настоящим пользователем.

Нападение может использоваться для следующих целей:

1. При условии, что администратор, не закончив свою сессию, открыл сессию от имени staff, злонамеренный пользователь может передать ему ссылку на страницу или поместить во вложение html-файл с вредоносным кодом, в результате загрузки которого пользователь сможет выполнить любые действия с правами администратора (сменить его пароль, e-mail и т.д.)

2. Если у staff нет параллельной сессии администратора, то злонамеренный пользователь может:
- создать пользователя в обход всех проверок
- активировать пользователя
- изменить e-mail произвольного пользователя
- изменить e-mail staff'а

Подробности уязвимостей не раскрываются.

Решение

Установите последнюю версию - 3.70.01

Статус уведомления

12.10.2009 - Производитель уведомлен
13.10.2009 - Получен ответ от производителя
19.01.2010 - Производитель подтвердил уязвимость и предоставил временное решение
09.02.2010 - Производитель выпустил исправление
08.04.2010 - Разглашение уязвимости

Благодарности

Эту уязвимость обнаружил Тимур Юнусов (Positive Technologies Research Team)

Ссылки

http://www.securitylab.ru/lab/PT-2009-42
http://www.ptsecurity.ru/advisory.asp

Список отчетов об уязвимостях, ранее обнаруженных Positive Technologies Research Team:

http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/advisory.asp

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.