Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Il bug di sicurezza di ParseThru minaccia le applicazioni di Golang

La vulnerabilità, chiamata ParseThru, è stata scoperta dagli esperti dell’azienda israeliana Oxeye. 

ParseThru consente agli aggressori di ottenere l’accesso non autorizzato alle applicazioni cloud scritte in Golang. Gli esperti attribuiscono la vulnerabilità alle incongruenze che sorgono a causa dei cambiamenti nella logica di analisi degli URL in Golang, implementata nella libreria “net/url”.

Gli esperti lo spiegano dicendo che fino alla versione 1.17, Golang considerava il punto e virgola un separatore di query valido (ad esempio, example.com?a=1;b=2&c=3). Tuttavia, questo comportamento è stato modificato nelle versioni successive per visualizzare un errore se è presente un punto e virgola nella stringa di query.

I ricercatori sono stati in grado di capire che ParseThru si verifica quando l’API pubblica Golang su 1.17 o successiva inizia a interagire con un server back-end in esecuzione su una versione precedente. 

Advertisements

Pertanto, un utente malintenzionato può inviare segretamente richieste con parametri che normalmente dovrebbero essere rifiutati.

In poche parole, l’hacker deve inviare richieste contenenti un punto e virgola. 

Queste richieste verranno ignorate dall’API personalizzata Golang ma gestite dal servizio interno.

I ricercatori di Oxeye hanno trovato diversi progetti open source vulnerabili a ParseThru: Harbour, Traefik e Skipper. Oxeye ha prontamente informato gli sviluppatori delle applicazioni vulnerabili e hanno già rilasciato aggiornamenti che colmano le lacune nella loro protezione.

Advertisements