Vulnerabilidade de falsificação de solicitação do lado do servidor

Recebemos um e-mail de um pesquisador de segurança trazendo à nossa atenção o problema mencionado abaixo. Não sou um especialista em segurança, portanto não posso afirmar se isso está correto ou incorreto. Encaminhei isso para o suporte do Discourse em fevereiro de 2021 e não recebi nenhuma resposta. Gostaria de saber:

• se esse problema ainda existe
• se há algo que eu possa fazer a respeito (configurações, etc.)

Obrigado,

Gary W.
suporte remote.it

#========================================================
Resumo:
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) parece vazar vários endereços IP internos e tenta conectar-se a um host controlado por um atacante.

Aqui, você pode ver que há uma má configuração na validação de entrada, motivo pelo qual meu e-mail, em vez do original, não está sendo validado e a solicitação foi recebida no meu Burp Collaborator.

Passos para reproduzir:
1: Acesse primeiro o seu site https://forum.remote.it/top/yearly
2: Cadastre-se com sucesso aqui
3: Vá para criar um novo tópico
4: Cole aqui o link do seu servidor

POC:
Encontre um anexo de vídeo. Você também pode executar meus passos para reproduzir. (desculpe, novos usuários não podem fazer upload de anexos) Ele foi anexado ao e-mail que enviei para o suporte.

Impacto:
Isso permitirá que atacantes obtenham acesso a um IP interno do servidor, o que mostra a resposta HTTP desse servidor, ou seja, o servidor Collaborator recebeu uma solicitação HTTP. O servidor Collaborator recebeu uma consulta DNS do tipo A para o nome de domínio
[zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net](http://zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net). A consulta foi
recebida do endereço IP 66.220.12.132 em 2020-Dez-10 11:03:44 UTC.
pertence ao IP da empresa; você pode validar no registro whois.
Falsificação de Solicitação do Lado do Servidor (SSRF) pode representar uma grande ameaça às aplicações web modernas, pois pode comprometer a confidencialidade dos dados.

Mitigação:
O SSRF pode ser mitigado por meio da sanitização adequada de URLs e outras entradas de usuário.
Um desenvolvedor pode criar uma lista negra e restringir qualquer entrada de usuário que corresponda à lista negra, além de realizar verificações de limites.

Parece que o que estão falando é sobre nossa funcionalidade de oneboxing.

Não é uma vulnerabilidade; é um comportamento intencional. Se uma URL for publicada em um fórum Discourse, uma solicitação de saída é feita para tentar recuperar metadados e construir um onebox.

Esse tipo de relatório parece fazer parte de uma varredura de baixo esforço de sites em busca de “vulnerabilidades” genéricas, já que não estão familiarizados com o funcionamento do software que estão testando.

Se eles tiverem alguma descoberta, incentivamos que a submetam por meio do nosso programa de recompensa por bugs HackerOne.

Se você tiver mais preocupações, ficaremos felizes em abordá-las.

Não tenho nenhum registro de mensagens deste endereço de e-mail, mas vamos investigar para ver por que não o recebemos.

Obrigado pela resposta. Enviei um link para este tópico de volta à pessoa que relatou o problema (ou recurso, conforme o caso) para nós.

Abraços,

DL