Vulnerabilità di falsificazione di richieste lato server

Supporto
1

Abbiamo ricevuto una e-mail da un ricercatore di sicurezza che ha segnalato il problema indicato di seguito. Non sono un esperto di sicurezza, quindi non posso dirvi se quanto riportato sia corretto o meno. Ho inoltrato la segnalazione al supporto di Discourse nel febbraio 2021, ma non ho ancora ricevuto una risposta. Vorrei sapere:

  • se questo problema è ancora attuale
  • se c’è qualcosa che posso fare al riguardo (impostazioni, ecc.)

Grazie,

Gary W.
supporto remote.it

#========================================================
Riepilogo:
Una vulnerabilità di Server-Side Request Forgery (SSRF) sembra esporre diversi
indirizzi IP interni e tenta di connettersi a un host controllato da un attaccante.

Qui si nota una errata configurazione della validazione degli input, motivo per cui
il mio indirizzo, invece di quello originale, non viene validato e la richiesta
è stata ricevuta dal mio Burp Collaborator.

Passaggi per riprodurre il problema:
1: Andate sul sito https://forum.remote.it/top/yearly
2: Completate la registrazione con successo
3: Andate alla creazione di un nuovo argomento
4: Incollate qui il link al vostro server

POC:
Trova un allegato video. Puoi anche seguire i miei passaggi per riprodurre il problema. (scusate, i nuovi utenti non possono caricare allegati) Era allegato all'e-mail che ho inviato al supporto.

Impatto:
Ciò consentirà agli attaccanti di ottenere accesso a un indirizzo IP interno del server,
che mostra la risposta HTTP da questo server, ovvero il server Collaborator ha
ricevuto una richiesta HTTP. Il server Collaborator ha ricevuto una risoluzione DNS
di tipo A per il nome di dominio
[zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net](http://zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net). La risoluzione è stata
ricevuta dall'indirizzo IP 66.220.12.132 il 10-dic-2020 alle 11:03:44 UTC.
Appartiene a un IP aziendale; puoi verificare tramite il record whois.
La vulnerabilità Server-Side Request Forgery rappresenta una grave minaccia per
le applicazioni web moderne, in quanto può compromettere la riservatezza dei
dati.

Mitigazione:
L'SSRF può essere mitigato attraverso una corretta sanitizzazione degli URL o di altri input utente.
Un sviluppatore potrebbe creare un elenco nero e bloccare qualsiasi input utente che corrisponda
all'elenco nero, eseguendo inoltre controlli sui limiti.
2

Sembra che di cui stanno parlando sia la nostra funzionalità di oneboxing.

Non è una vulnerabilità; è un comportamento previsto. Se un URL viene pubblicato su un forum Discourse, viene effettuata una richiesta in uscita per tentare di recuperare i metadati necessari a costruire un onebox.

Questo tipo di segnalazione sembra far parte di una scansione a basso sforzo di siti web alla ricerca di generiche “vulnerabilità”, poiché chi la effettua non conosce il funzionamento del software che sta testando.

Se avessero effettivamente trovato qualcosa, li invitiamo a inviarcelo tramite il nostro programma HackerOne di bug bounty.

Se avete ulteriori preoccupazioni, saremo lieti di affrontarle.

Non ho traccia di messaggi provenienti da questo indirizzo email, ma verificheremo per capire perché non lo abbiamo ricevuto.

3

Grazie per la risposta. Ho inviato un link a questo thread alla persona che ci ha segnalato il problema (o la funzionalità, a seconda dei casi).

Cordiali saluti,

DL