Критическая уязвимость Snipe-IT используется для отправки электронных писем-ловушек

Разработчики исправили критическую уязвимость в Snipe-IT, которая может быть использована для отправки пользователям вредоносных запросов на сброс пароля. Snipe-IT – облачный проект компании Grokability с открытым исходным кодом для управления IT-активами пользователей. Популярная система была разработана в качестве замены Excel-таблиц и насчитывает около 3,4 миллиона пользователей, а также более 6,7 миллиона управляемых активов.

2 мая проект раскрыл критическую уязвимость CVE-2022-23064 с рейтингом CVSS 8.8. Уязвимость описывается как инъекция заголовка хоста. Проблемы с заголовками хоста возникают при небезопасной обработке серверной связи и могут привести к различным проблемам, включая отравление веб-кэша, подделку запросов на стороне сервера (SSRF) или атаки SQL-инъекций. В случае Snipe-IT, CVE-2022-23064 позволяла злоумышленникам отправлять поддельные заголовки хостов в функцию сброса пароля системы.

Жертвам отправляли ссылки для сброса пароля, перенаправляющие на контролируемый злоумышленниками сервер. Разработчики утверждают, что после этого можно украсть токены сброса пароля, а следом и аккаунт пользователя.

По словам White Source примерный сценарий атаки выглядит так:

• Злоумышленник выбирает функцию восстановления пароля, потом вводит имя аккаунта жертвы.
• После нажатия кнопки для восстановления аккаунта с помощью почты, запрос перехватывается, а заголовок хоста подделывается.
• Если жертва нажмет на вредоносную ссылку с измененным базовым URL, то токен сброса пароля будет использован и скомпрометирован.

Эксперты считают, что атака запускается только после взаимодействия с пользователем, но для активации уязвимости не требуется авторизация или привилегии.

Уязвимы версии Snipe-IT от 3.0-alpha до 5.3.7. Эксперты настоятельно рекомендуют пользователям обновить версию сервиса минимум до 5.3.8.

5.4.4 , одна из последних доступных сборок, содержит исправление уязвимости межсайтового скриптинга.

В беседе с изданием The Daily Swig технический директор Grokability Брэди Ветерингтон заявил об отсутствии доказательств использования CVE-2022-23064 в дикой природе и что платформа никогда не была уязвима из-за своей конфигурации.