Vulnerabilidad de falsificación de solicitud del lado del servidor

Recibimos un correo electrónico de un investigador de seguridad que nos puso en conocimiento del problema mencionado a continuación. No soy un experto en seguridad, por lo que no puedo decirles si esto es correcto o incorrecto. Reenvié esto al soporte de Discourse en febrero de 2021 y no he recibido respuesta. Me gustaría saber:

• si este problema sigue siendo una amenaza
• si hay algo que pueda hacer al respecto (configuración, etc.)

Gracias,

Gary W.
soporte de remote.it

#========================================================
Resumen:
Parece que una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) filtra una serie de direcciones IP internas e intenta conectarse a un host controlado por un atacante.

Aquí, se puede ver que existe una mala configuración en la validación de entradas, razón por la cual mi correo, en lugar del original, no se está validando y recibí la solicitud en mi colaborador de Burp Suite.

Pasos para reproducir:
1: Primero, vaya a su sitio web https://forum.remote.it/top/yearly
2: Regístrese con éxito aquí
3: Vaya a crear un nuevo tema
4: Aquí pegue el enlace de su servidor

POC:
Busque un archivo adjunto de video. También puede seguir mis pasos para reproducir el problema. (lo siento, los usuarios nuevos no pueden cargar archivos adjuntos). Fue adjuntado al correo electrónico que envié al soporte.

Impacto:
Esto permitirá a los atacantes obtener acceso a una IP interna del servidor, lo que muestra la respuesta HTTP de este servidor, es decir, el servidor Colaborador recibió una solicitud HTTP. El servidor Colaborador recibió una consulta DNS de tipo A para el nombre de dominio
[zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net](http://zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net). La consulta fue
recibida desde la dirección IP 66.220.12.132 el 2020-12-10 11:03:44 UTC.
pertenece a una IP de la empresa; puede validarla en el registro whois.
La falsificación de solicitud del lado del servidor (SSRF) puede representar una gran amenaza para las aplicaciones web modernas, ya que puede comprometer la confidencialidad de los datos.

Mitigación:
La SSRF puede mitigarse mediante la sanitización adecuada de URL u otras entradas de usuario.
Un desarrollador podría crear una lista negra y restringir cualquier entrada de usuario que coincida con la lista negra, además de realizar comprobaciones de límites.

Parece que lo que están comentando es nuestra funcionalidad de oneboxing.

No es una vulnerabilidad; es un comportamiento previsto. Si se publica una URL en un foro de Discourse, se realiza una solicitud saliente para intentar recuperar metadatos y construir un onebox.

Este tipo de informe parece ser parte de un escaneo de bajo esfuerzo de sitios web en busca de “vulnerabilidades” genéricas, ya que no están familiarizados con el funcionamiento del software que están probando.

Si sí tienen algún hallazgo, les animamos a que lo envíen a través de nuestro programa de recompensas por errores HackerOne.

Si tienes más inquietudes, estaremos encantados de abordarlas.

No tengo ningún registro de mensajes desde esta dirección de correo electrónico, pero investigaremos para ver por qué no lo recibimos.

Gracias por la respuesta. He enviado un enlace a este hilo a la persona que nos reportó el problema (o la función, según corresponda).

Saludos,

DL