Спецпроекты

Безопасность Бизнес

В корпоративном мессенджере Slack можно пачками захватывать чужие аккаунты

Исправленная разработчиками уязвимость позволяла перехватывать файлы cookie сессий Slack и получать доступ ко всей информации аккаунта.


На автомате

Уязвимость в популярнейшем бизнес-приложении Slack могла приводить к захвату аккаунтов посторонними, причем перехват контроля можно было автоматизировать. Slack уже выпустил исправление.

Эксперт по безопасности и профессиональный охотник за уязвимостями Эван Кастодио (EvanCustodio) осенью 2019 г. обнаружил в Slack уязвимость класса HTTPRequestsmugglingCL.TE. Такие атаки направлены на рассинхронизацию клиентского (frontend) и внутреннего (backend) интерфейса веб-сервера, в результате чего злоумышленник может «контрабандой» провести HTTP-запрос в обход фронтенда.

Атаки HTTPrequestsmuggling включают в себя также размещение в одном запросе заголовков Content-Length и Transfer-Encoding, а заодно манипулирование ими, чтобы фронтенд- и бэкенд-серверы обрабатывали запрос по-разному. В случае CL.TE речь идет о том, что фронтенд использует заголовок Content-Length, а внутренний интерфейс — Transfer-Encoding. Атака позволяет использовать разные значения для заголовков, чтобы вынудить бэкенд обрабатывать запрос нужным злоумышленнику образом.

Уязвимость в Slack допускала серийный захват аккаунтов

Кастодио прицельно искал данные уязвимости, используя инструменты собственного изготовления. О найденных проблемах он известил разработчиков Slack еще в ноябре 2019 г. Те исправили проблему в течение суток и выплатили Кастодио вознаграждение в размере $6500.

Абсолютно критический характер

По словам Кастодио, данный баг носил «абсолютно критический» характер и для Slack, и для клиентов платформы, поскольку в случае успешной его эксплуатации злоумышленники могли получать доступ к большей части клиентской информации.

Мало того, злоумышленники в теории могли бы создать ботов, которые в автоматическом режиме перехватывали бы файлы cookie для каждой сессии. Дальше злоумышленнику достаточно их использовать в браузере, чтобы перехватить контроль над чужим аккаунтом и вывести из него всю интересующую его информацию. Таким образом, перехват контроля над аккаунтами можно было без особого труда автоматизировать.

«Slack действительно очень популярен в бизнес-среде, так что последствия эксплуатации данной уязвимости могли быть весьма широкомасштабными, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Возможность автоматизировать атаки означает, что проводить их могли все желающие, вне зависимости от уровня технической подготовки. И разработчикам Slack, и многочисленным его пользователям очень повезло, что первым проблему выявил независимый “этический хакер”. Подобные истории снимают вопросы о том, нужны ли независимые исследователи в сфере информбезопасности».

Роман Георгиев

Короткая ссылка