Il Red Team di TIM scopre una CVE critica da 9,8 su VDESK di Live Box

Redazione RHC : 10 Febbraio 2023 08:57

I ricercatori di sicurezza informatica del laboratorio Red Team Research (RTR) di Telecom Italia, firmano un nuovo e pericoloso Zeroday sul sistema VDESK di Live Box.

Comunicato tempestivamente da RTR all’azienda, come di consueto attraverso il processo di Coordinated Vulnerability Disclosure (CVD), l’organizzazione ha prontamente emesso le fix di sicurezza.

Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il software di LiveBox comprende ben nove moduli:

• vShare: consente la condivisione di file in modo sicuro tramite la crittografia AES 256 BIT;
• vMeet: la piattaforma di chat, video chat e videoconferenze;
• vPec: un client di posta unico sia per email tradizionali che certificate (PEC);
• vFlow: la piattaforma che si occupa della digitalizzazione delle attività automatizzandole, semplifica i flussi di lavoro e gestisce gli asset digitali in tutto l’ecosistema;
• vCal: il cloud aziendale;
• vPeople: sistema multi user di gestione dei contatti;
• vCanvas: digital workplace solution che semplifica l’accesso al network da qualsiasi dispositivo;
• vDpA: la piattaforma che consente la firma digitale per contratti e documenti;
• v2FA: il sistema di sicurezza per l’accesso al proprio account.

Le analisi condotte dal laboratorio RTR di TIM

Durante l’attività di bug hunting, il Red Team Research (RTR) ha rilevato un bug zeroday CRITICO sul prodotto vDesk di LiveBox. 

Attraverso la vulnerabilità di “Broken Access Control” un attaccante, senza l’esigenza di essere autenticato sul sistema, risulta in grado di resettare a suo piacimento la password di altri utenti e anche degli amministratori del sistema stesso.

Questo consente all’attaccante di avere il controllo completo sul sistema. 

CVE-2022-45172 – LIVEBOX Collaboration vDesk

Vulnerability Description: Multiple Improper Access Control- CWE-284

• Software Version:  < v.018
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45172 
• CVSv3: 9,8
• Severity: Critical
• Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
• An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the  system.

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 100 CVE, dove circa 8 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli