PT-2009-42: Cross-Site Request Forgery в Kayako Support Suite
(PT-2009-42) Уведомление безопасности Positive Technologies
Cross-Site Request Forgery в Kayako Support Suite
Уязвимое ПО
Kayako Support Suite
Версия 3.60.04 stable и, возможно, более ранние
Ссылка на приложение:
http://www.kayako.com/
Рейтинг опасности
Уровень опасности: Средний
Воздействие: Cross-Site Request Forgery
Вектор атаки: Удаленный
CVSS v2:
Base Score: 7
Temporal Score: 5.2
Vector: (AV:N/AC:M/Au:S/C:C/I:P/A:N/E:U/RL:O/RC:C)
CVE: отсутствует
Описание программного обеспечения
Kayako Support Suite – система технической поддержки HelpDesk.
Описание уязвимости
Positive Technologies Research Team обнаружили уязвимости «межсайтовая подмена запросов» в приложении Kayako Support Suite.
Приложение не обеспечивает необходимую защиту от атак данного класса во всех операциях, производимых администратором, и некоторых операциях staff'а.
Данный тип атак направлен на имитацию запроса пользователя к стороннему сайту. Эта уязвимость достаточно широко распространена из-за особенностей архитектуры большинства веб-приложений, а именно из-за того, что многие веб-приложения не могут точно определить, действительно ли запрос сформирован настоящим пользователем.
Нападение может использоваться для следующих целей:
1. При условии, что администратор, не закончив свою сессию, открыл сессию от имени staff, злонамеренный пользователь может передать ему ссылку на страницу или поместить во вложение html-файл с вредоносным кодом, в результате загрузки которого пользователь сможет выполнить любые действия с правами администратора (сменить его пароль, e-mail и т.д.)
2. Если у staff нет параллельной сессии администратора, то злонамеренный пользователь может:
- создать пользователя в обход всех проверок
- активировать пользователя
- изменить e-mail произвольного пользователя
- изменить e-mail staff'а
Подробности уязвимостей не раскрываются.
Решение
Установите последнюю версию - 3.70.01
Статус уведомления
12.10.2009 - Производитель уведомлен
13.10.2009 - Получен ответ от производителя
19.01.2010 - Производитель подтвердил уязвимость и предоставил временное решение
09.02.2010 - Производитель выпустил исправление
08.04.2010 - Разглашение уязвимости
Благодарности
Эту уязвимость обнаружил Тимур Юнусов (Positive Technologies Research Team)
Ссылки
http://www.securitylab.ru/lab/PT-2009-42
http://www.ptsecurity.ru/advisory.asp
Список отчетов об уязвимостях, ранее обнаруженных Positive Technologies Research Team:
http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/advisory.asp
О Positive Technologies
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.
Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.
Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.