55 Nuovi difetti di sicurezza segnalati nel software e nei servizi Apple
Buongiorno cari lettori, oggi parleremo 55 Nuovi difetti di sicurezza segnalati nel software e nei servizi Apple.
Un team di cinque ricercatori della sicurezza ha analizzato diversi servizi online di Apple per tre mesi e ha trovato ben 55 vulnerabilità, 11 delle quali sono critiche in termini di gravità.
I difetti - tra cui 29 vulnerabilità di alta gravità, 13 di media gravità e 2 di bassa gravità - potrebbero aver permesso a un aggressore di "compromettere completamente le applicazioni di clienti e dipendenti, lanciare un worm in grado di rilevare automaticamente l'account iCloud di una vittima, recuperare il codice sorgente per i progetti interni di Apple, compromettere completamente un software di controllo industriale di magazzino utilizzato da Apple e rilevare le sessioni dei dipendenti Apple con la possibilità di accedere a strumenti di gestione e risorse sensibili".
Le falle significavano che un cattivo attore poteva facilmente dirottare l'account iCloud di un utente e rubare tutte le foto, le informazioni del calendario, i video e i documenti, oltre a inoltrare lo stesso exploit a tutti i loro contatti.
I risultati sono stati riportati da Sam Curry insieme a Brett Buerhaus, Ben Sadeghipour, Samuel Erb e Tanner Barnes per un periodo di tre mesi tra luglio e settembre.
Dopo che sono stati divulgati in modo responsabile alla Apple, il produttore di iPhone ha provveduto a riparare i difetti entro 1-2 giorni lavorativi, con pochi altri corretti in un breve lasso di tempo di 4-6 ore.
Finora, Apple ha elaborato circa 28 delle vulnerabilità con un payout totale di 288.500 dollari come parte del suo programma di bug bounty.
I bug critici segnalati da Sam Curry e dal team sono i seguenti:
Esecuzione remota del codice tramite autorizzazione e bypass di autorizzazione
Il Bypass di autenticazione tramite permessi non configurati consente l'accesso globale dell'amministratore
Iniezione di comando tramite l'argomento del nome del file non igienizzato
Esecuzione remota del codice tramite lo strumento dell'amministratore segreto ed esposto
La perdita di memoria porta a un compromesso tra dipendenti e account utente che consente l'accesso a varie applicazioni interne
Vertica SQL Injection tramite parametro di ingresso non igienizzato
Wormable Stored XSS consente all'aggressore di compromettere completamente l'account iCloud per le vittime.
Wormable Stored XSS consente all'aggressore di compromettere completamente l'account iCloud per le vittime.
La risposta completa SSRF consente all'aggressore di leggere il codice sorgente interno e di accedere alle risorse protette
Blind XSS consente ad Attacker di accedere al portale di supporto interno per il monitoraggio dei problemi di clienti e dipendenti
Server Side PhantomJS Execution permette ad un aggressore di accedere alle risorse interne e recuperare le chiavi IAM AWS
Uno dei domini Apple che ha subito l'impatto è stato il sito Apple Distinguished Educators ("ade.apple.com") che ha permesso un bypass di autenticazione tramite una password predefinita ("###INvALID#%!3"), permettendo così a un aggressore di accedere alla console dell'amministratore e di eseguire codice arbitrario.
Allo stesso modo, un difetto nel processo di reset della password associato ad un'applicazione chiamata DELMIA Apriso, una soluzione di gestione del magazzino, ha permesso di creare e modificare le spedizioni, le informazioni di inventario, convalidare i badge dei dipendenti e persino di assumere il pieno controllo del software creando un utente disonesto.
Una vulnerabilità separata è stata scoperta anche nel servizio Apple Books for Authors che viene utilizzato dagli autori per aiutare a scrivere e far pubblicare i loro libri sulla piattaforma Apple Books. In particolare, utilizzando lo strumento di caricamento dei file di ePub, i ricercatori sono stati in grado di manipolare le richieste HTTP con l'obiettivo di eseguire comandi arbitrari sul server "authors.apple.com".
Tra gli altri rischi critici rivelati dai ricercatori vi sono quelli derivanti dalla vulnerabilità del cross-site scripting (XSS) nel dominio "www.icloud.com", che opera semplicemente inviando a un target con iCloud.com o Mac.com un indirizzo email appositamente creato che, se aperto tramite Apple Mail nel browser, permetteva all'aggressore di rubare tutte le foto e i contatti.
In più, la vulnerabilità XSS era wormable, il che significa che poteva essere facilmente propagata inviando un'email simile ad ogni indirizzo iCloud.com o Mac.com memorizzato nei contatti della vittima.
"Quando abbiamo iniziato questo progetto non avevamo idea che avremmo passato un po' più di tre mesi a lavorare per il suo completamento", ha osservato Sam Curry nel suo post sul blog. "In origine, questo doveva essere un progetto secondario su cui avremmo lavorato di tanto in tanto, ma con tutto il tempo libero in più che abbiamo avuto con la pandemia, ognuno di noi ha finito per dedicarci qualche centinaio di ore".
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
