CSRF, XSS та Redirector уразливості в IBM Lotus Domino
17:25 15.02.201317.05.2012
У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Це третя порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.
Раніше я вже писав про уразливості в IBM Lotus Domino.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
15.02.2013
CVE: CVE-2012-4842, CVE-2012-4844.
Cross-Site Request Forgery (WASC-09):
Відсутність капчі в формі логіна (http://site/names.nsf) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.
Cross-Site Scripting (WASC-08):
Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).
Експлоіт:
Redirector (URL Redirector Abuse) (WASC-38):
Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).
Експлоіт:
IBM Lotus Domino Redirector.html
Уразливі Lotus Domino 8.5.3 та попередні версії. Як повідомили мені з IBM наприкінці листопада, вони планують виправити уразливості (зокрема XSS і Redirector) в версії 9.0. Що повинна вийти 14.03.2013. Свій адвізорі по даним уразливостям IBM оприлюднила 30.11.2012.
До виходу нової версії всі користувачі вразливих версій IBM Lotus Domino вразливі до даних атак. При цьому представники IBM не запропонували жодних рішень цієї проблеми (Workaround чи Mitigation). Зате я запропоную обхідне рішення, яке можна використовувати до виходу версії 9.0 з виправленнями уразливостей. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.
