Transcript BITSAFE - CERT di Poste Italiane

BITSAFE
PICERT Vulnerability Responsible Disclosure
Coordinamento delle vulnerabilità segnalate
a cura di PI-CERT
Vulnerability Disclosure Policy
Il CERT di Poste Italiane coordina con i
vendor le vulnerabilità segnalate in
accordo con il processo interno di
“responsible disclosure”, definito sulla
base delle principali linee guida condivise
tra le varie comunità di sicurezza.
La comunicazione al pubblico della
vulnerabilità viene effettuata dopo un
periodo di 45 giorni dalla comunicazione al
vendor, in modo da consentire una
risoluzione della problematica.
!Il PICERT fornisce, inoltre, una
La missione del CERT
Poste Italiane è quello
di fornire un unico
punto di coordinamento
di tutte le attività legate
alla prevenzione e alla
gestione delle minacce
informatiche che
impattano il patrimonio
informativo di Poste
Italiane, tramite una
gestione integrata di
tutti i flussi rilevanti
provenienti da ciascuno
dei centri operativi già
attivi , e di
rappresentare, allo
stesso tempo, una
interfaccia unica verso il
mondo esterno, con
riferimento a tutte le
attività di scambio di
informazioni operative.
descrizione della problematica, le versione
del software su cui sono stati effettuati i
test, il codice utilizzato e tutte le
informazioni tecniche utili per risolvere
velocemente le problematiche di
sicurezza o per mitigare
l’esposizione al rischio. La
notifica è effettuata via email
registrando la data della
comunicazione. Nel caso in
cui il vendor non fornisca
alcuna risposta, non stabilisca
un periodo di tempo
ragionevole per il rilascio della
patch o non dimostri alcun interesse per la
notifica ricevuta, il PICERT potrà divulgare
la vulnerabilità 45 giorni dopo la prima
comunicazione, indipendentemente
dall’esistenza o disponibilità di una patch.
!Il PICERT, in caso di un grande rischio di
sicurezza, si riserva il diritto di pubblicare
le informazioni prima o oltre tale periodo;
la decisione di pubblicare o meno un
annuncio, un warning o un’alert terrà
sempre e comunque conto dei principi di
sicurezza definiti nell’ambito delle linee
guida sulla divulgazione delle vulnerabilità.
!Le vulnerabilità segnalate al PICERT, una
volta validati i risultati, sono comunicate ai
fornitori interessati il prima possibile. Il
nome e le informazioni di contatto del
ricercatore di sicurezza sono comunicate
salvo diversa richiesta del ricercatore.
Generalmente il PICERT fornisce le
informazioni, prima della comunicazione al
pubblico, a coloro che potrebbero
contribuire alle analisi o con cui si ha un
rapporto di fiducia tra cui fornitori,
comunità di esperti (FIRST, Trusted
Introducer, EECTF) e gruppi di sicurezza
appartenenti ad infrastrutture critiche
nazionali.
Le informazioni sono condivise
applicando il protocollo TLP,
che ha l’obiettivo di creare uno
schema di classificazione per la
condivisione di informazioni
sensibili, mantenendo al tempo
stesso il controllo sulla
diffusione.
In riferimento all'ambito e gravità della
vulnerabilità, al potenziale valore aggiunto
del coordinamento della divulgazione, il
PICERT può, a sua discrezione, decidere
di non coordinare e non pubblicare una
relazione sulla vulnerabilità.
BITSAFE Novembre 2014
BITSAFE Novembre 2014
0-day attack against the Joomla component ABPro
Coordinated Responsible Disclosure
Dettagli della vulnerabilità
Nell'ambito delle attività operative e di
ricerca condotte dal Computer
Emergency Response Team di Poste
Italiane (PICERT), ad Agosto 2014 il
ricercatore - Antonio Piccolo - e l’analista
di sicurezza - Giantonio Chiarelli - del
Distretto Cyber Security (DCS)
coordinato da Poste Italiane, hanno
individuato una vulnerabilità nel
componente Appointment Booking Pro
del noto CMS Joomla (CVE-2014-8470).
Il PICERT, in accordo con la sua politica
di divulgazione delle vulnerabilità, ha
verificato la possibilità di attacchi di SQL
Injection a carico del componente ABPro
versione 2.07_RC3 (su Joomla versione
2.5.24) ed ha coordinato l’attività di
responsible disclosure con il team
ABPro.
La mancanza di validazione dell’input di
alcuni parametri presenti su diverse
pagine PHP consentono di introdurre
codice arbitrario tramite tecniche di SQL
Injection. Insieme all’advisory ufficiale è
stato rilasciato un report che include un
PoC per la verifica della vulnerabilità,
alcuni possibili scenari di attacco e i
suggerimenti per la correzione della
problematica.
!
!
!
BITSAFE
VOL. I #4 - Nov. 2014
!!
!!
!!
!
!!
!!
!!
!!
Edited by
CERT Poste Italiane
Per ulteriori
informazioni contattare
[email protected]
Scenari di attacco
Un utente malintenzionato, con una
semplice ricerca su google, potrebbe
creare una botnet con l’elenco di siti web
vulnerabili sui cui installare una shell per
l’accesso non autenticato al sistema.
Con una shell installata l’attaccante
potrebbe:
• ottenere l’accesso a qualsiasi dato
presente sul portale Joomla e sul
server e potenzialmente modificare i
dati di pagamento nell’area di
amministrazione del plugin al fine di
sottrarre denaro;
• nascondere la shell al fine di
utilizzare il server compromesso per
attacchi di tipo DDOS o distribuire
software malevolo.
Tuttavia anche senza la shell
l’attaccante potrebbe:
• estrarre informazioni su utenti
(nome, email, telefono, ecc.) ed
utilizzarli al fine di condurre attacchi
mirati (attacchi phishing - spear
phishing);
• estrarre ulteriori informazioni dal
database.
Link:
!
•
•
•
Distretto CyberSecurity
CERT Poste Italiane (PICERT)
Sito ufficiale "Appointment Booking Pro"