В прошлом месяце IBM закрыла уязвимость межсайтового скриптинга в двух продуктах. Потенциально эта уязвимость могла позволить злоумышленникам исполнить вредоносный код JavaScript в браузере жертвы и похитить учетные данные пользователей.

Уявимость (CVE-2017-1500) более года угрожала безопасности пользователей Worklight и MobileFirst. Габриэль Гристина (Gabriele Gristina), консультант итальянской компании Emaze Networks, занимающейся информационной безопасностью, впервые столкнулся с ней прошлым летом, 29 августа 2016 года.

Гристина нашел эту дыру, технически представляющую собой отраженную XSS-уязвимость в веб-интерфейсе сервера авторизации, тестируя мобильное приложение. В самом приложении он не выявил серьезных недочетов, но очень удивился, когда наткнулся на уязвимость в самом фреймворке.

«Как правило, я всегда нахожу много проблем с безопасностью у каждого объекта», сказал Gristina журналистам Threatpost. «Но когда я исследовал это мобильное приложение, я нашел только незначительные недочеты и не поверил что такое возможно. Поэтому я начал шерстить фреймворк IBM и через некоторое время нашел XSS-уязвимость».

Приложение было создано при помощи MobileFirst, платформы для разработки мобильных приложений, ранее известной как Worklight. Она позволяет разработчикам создавать приложения, смотреть как они будет выглядеть на разных устройствах, и управлять тем, как пуш-нотификации от приложений посылаются устройствам.

Проблема, по словам Гристины, заключается в том, что фреймворк некорректно воспринимал данные, вводимые при помощи параметра GET в механизме авторизации, реализованном через RESTful API.

«Если быть точным, когда оказывалось что вводимое значение параметра не было прописано заранее в файле ‘authenticationConfig.xml’, то функция выдавала значение HTTP 403 Forbidden и отображала некорректное значение параметра в теле ответа», — написал Гристина в документе, с описанием уязвимости и доказательством возможности ее использования.

Исследователь добавил, что воспользоваться этой уязвимостью крайне просто — злоумышленнику достаточно присоединить вредоносный код к значению, которое вводится при помощи параметра GET.

В IBM подтвердили наличие этой уязвимости в соответствующей записи на сервисе X-Force Exchange и уточнили, что сложность атаки при помощи этой уязвимости низка, а ее организация не требует наличия у злоумышленника особых привилегий. По шкале Common Vulnerability Scoring System (CVSS) 3.0 эта уязвимость получила 5,4 балла. Она потенциально позволяет кому угодно выполнить в веб-интерфейсе произвольный код, что может привести к изменению задуманной функциональности, в результате чего будут раскрыты учетные данные доверенной сессии.

По словам Гристины, компания выпустила патчи, закрывающие эту дыру в Worklight Enterprise Edition и MobileFirst Platform Foundation всего две недели назад.

Непонятно, почему IBM так долго не выпускала патча против этой уязвимости. В интервью Гристина сказал, что он также недоумевает.

«Возможно такое решение было принято в интересах бизнеса? Лично я не думаю, что там была какая-то техническая проблема, потому что решение тут достаточно простое», — говорит Гристина.

Уязвимы не обновлённые версии Worklight 6.1 и 6.2, а также версии MobileFirst 6.3, 7.0, 7.1 и 8.0. Пользователи могут скачать патчи и обновить платформу до версий 6.1.0.2, 6.2.0.1, 6.3.0.0, 7.0.0.0, 7.1.0.0 и 8.0.0.0 через портал FixCentral компании IBM.

Категории: Главное, Уязвимости