Ngày 27 tháng 5 năm 2023Ravie LakshmananAPI Bảo mật / lỗ hổng bảo mật
Một lỗ hổng bảo mật quan trọng đã được tiết lộ trong triển khai Ủy quyền mở (OAuth) của khung phát triển ứng dụng Expo.io.
Thiếu sót, được gán mã định danh CVE CVE-2023-28131, có mức độ nghiêm trọng là 9,6 trên hệ thống tính điểm CVSS. Công ty bảo mật API Salt Labs cho biết sự cố khiến các dịch vụ sử dụng khung dễ bị rò rỉ thông tin xác thực, sau đó có thể được sử dụng để chiếm đoạt tài khoản và hút dữ liệu nhạy cảm.
Trong một số trường hợp nhất định, kẻ đe dọa có thể đã lợi dụng lỗ hổng để thực hiện các hành động tùy ý thay mặt cho người dùng bị xâm nhập trên nhiều nền tảng khác nhau như Facebook, Google hoặc Twitter.
Expo, tương tự như Electron, là một nền tảng nguồn mở để phát triển các ứng dụng gốc phổ quát chạy trên Android, iOS và web.
Cần lưu ý rằng để cuộc tấn công thành công, các trang web và ứng dụng sử dụng Expo phải định cấu hình cài đặt AuthSession Proxy cho đăng nhập một lần (SSO) bằng cách sử dụng nhà cung cấp bên thứ ba như Google và Facebook.
Nói cách khác, lỗ hổng bảo mật có thể được tận dụng để gửi mã thông báo bí mật được liên kết với nhà cung cấp dịch vụ đăng nhập (ví dụ: Facebook) đến miền do tác nhân kiểm soát và sử dụng miền đó để giành quyền kiểm soát tài khoản của nạn nhân.
Đổi lại, điều này được thực hiện bằng cách lừa người dùng được nhắm mục tiêu nhấp vào một liên kết được tạo đặc biệt có thể được gửi qua các vectơ kỹ thuật xã hội truyền thống như email, tin nhắn SMS hoặc trang web đáng ngờ.
Expo, trong một lời khuyên, cho biết họ đã triển khai một hotfix trong vòng vài giờ sau khi tiết lộ có trách nhiệm vào ngày 18 tháng 2 năm 2023. Người dùng cũng nên chuyển từ sử dụng proxy API AuthSession sang đăng ký trực tiếp các lược đồ URL liên kết sâu với nhà cung cấp xác thực bên thứ ba để bật các tính năng SSO .
“Lỗ hổng này sẽ cho phép kẻ tấn công tiềm năng lừa người dùng truy cập vào một liên kết độc hại, đăng nhập vào nhà cung cấp xác thực bên thứ ba và vô tình tiết lộ thông tin xác thực bên thứ ba của họ,” James Ide của Expo cho biết.
“Điều này là do auth.expo.io được sử dụng để lưu trữ URL gọi lại của ứng dụng trước khi người dùng xác nhận rõ ràng rằng họ tin tưởng URL gọi lại.”
Tiết lộ này được đưa ra sau khi phát hiện ra các sự cố OAuth tương tự trong Booking.com (và trang web chị em của nó là Kayak.com) có thể đã được tận dụng để kiểm soát tài khoản của người dùng, có được khả năng hiển thị đầy đủ dữ liệu cá nhân hoặc thẻ thanh toán của họ và thực hiện các hành động thay mặt nạn nhân.
Phát hiện cũng được đưa ra vài tuần sau khi công ty an ninh mạng Thụy Sĩ Sonar trình bày chi tiết về quá trình truyền tải đường dẫn và lỗ hổng SQL injection trong hệ thống quản lý nội dung doanh nghiệp Pimcore (CVE-2023-28438) mà kẻ thù có thể lạm dụng để chạy mã PHP tùy ý trên máy chủ với quyền của máy chủ web.
Sonar, vào tháng 3 năm 2023, cũng đã tiết lộ một lỗ hổng tập lệnh chéo trang được lưu trữ, chưa được xác thực ảnh hưởng đến các phiên bản LibreNMS 22.10.0 trở về trước. Lỗ hổng này có thể bị khai thác để thực thi mã từ xa khi bật Giao thức quản lý mạng đơn giản (SNMP).
