Il Red Team Research di TIM emette 7 CVE delle quali 3 con score 9,8 su VDESK di Live Box

Redazione RHC : 21 Aprile 2023 07:54

Durante un’analisi di sicurezza effettuata su alcuni prodotti di LiveBox, il laboratorio di ricerca 0-day di TIM, il Red Team Research (RTR), ha rilevato diverse vulnerabilità sul software di Collaboration vDesk.

Comunicato tempestivamente da RTR all’azienda attraverso il processo di Coordinated Vulnerability Disclosure (CVD), LiveBox ha prontamente emesso le fix di sicurezza sull’applicazione.

Di seguito l’elenco completo delle CVE Emesse su LiveBox:

Codice CVE	CVSSv3	Tipologia
CVE-2022-45172	9.8	Multiple Improper Access Control- CWE-284
CVE-2022-45173	9.8	Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287
CVE-2022-45174	9.8	Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287
CVE-2022-45178	8.8	Improper Access Control- CWE-284
CVE-2022-45175	6.5	Insecure Direct Object Reference (Cached Files) – CWE-639
CVE-2022-45180	6.5	Improper Access Control- CWE-284
CVE-2022-45170	6.5	Cryptographic Issue (File Encryption API) – CWE-310

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

L'acquisto del fumetto sul Cybersecurity Awareness

Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

È importante che le aziende (come in questo caso Live Box) collaborino con la community hacker che scoprono vulnerabilità di sicurezza in modo etico e trasparente sui loro prodotti perché questo consente loro di identificare e correggere le vulnerabilità prima che possano essere sfruttate da malintenzionati, migliorare la sicurezza dei loro prodotti e aumentare la fiducia dei clienti nei confronti dell’azienda.

Inoltre, la collaborazione con gli hacker può portare a innovazioni e miglioramenti nella sicurezza e nella privacy dei prodotti stessi.

Collaboration vDesk

Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.

Immagine che contiene testo

Descrizione generata automaticamente

Il software di LiveBox comprende ben nove moduli:

vShare: consente la condivisione di file in modo sicuro tramite la crittografia AES 256 BIT;
vMeet: la piattaforma di chat, video chat e videoconferenze;

vPec: un client di posta unico sia per email tradizionali che certificate (PEC);
vFlow: la piattaforma che si occupa della digitalizzazione delle attività automatizzandole, semplifica i flussi di lavoro e gestisce gli asset digitali in tutto l’ecosistema;
vCal: il cloud aziendale;

vPeople: sistema multi user di gestione dei contatti;
vCanvas: digital workplace solution che semplifica l’accesso al network da qualsiasi dispositivo;
vDpA: la piattaforma che consente la firma digitale per contratti e documenti;

v2FA: il sistema di sicurezza per l’accesso al proprio account.

Le CVE emesse dal MITRE

Da quanto si legge sul sito dell’azienda all’indirizzo www.gruppotim.it/redteam, ancora la severity non è stata pubblicata, anche se sul National Vulnerability Database (NVD), la quotazione del National Institute of Technology (NIST) è stata emessa come dai link riportati di seguito.

Nel dettaglio, le vulnerabilità rilevate sono le seguenti:

CVE-2022-45172 – LIVEBOX Collaboration vDesk

Vulnerability Description: Multiple Improper Access Control- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45172

CVSv3: 9,8
Severity: Critical
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli

An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.

CVE-2022-45173 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287

Software Version:

NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45173
CVSv3: 9,8
Severity: Critical

Credits: Massimiliano Ferraresi, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication can occur under the /api/v1/vdeskintegration/challenge endpoint. Because only the client-side verifies whether a check was successful, an attacker can modify the response, and fool the application into concluding that the TOTP was correct.

CVE-2022-45174 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45174
CVSv3: 9,8

Severity: Critical
Credits: Antonella Marino, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication for SAML Users can occur under the /login/backup_code endpoint and the /api/v1/vdeskintegration/challenge endpoint. The correctness of the TOTP is not checked properly, and can be bypassed by passing any string as the backup code.

CVE-2022-45178 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45178

CVSv3: 8,8
Severity: High
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli

An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdeskintegration/saml/user/createorupdate endpoint, the /settings/guest-settings endpoint, the /settings/samlusers-settings endpoint, and the /settings/users-settings endpoint. A malicious user (already logged in as a SAML User) is able to achieve privilege escalation from a low-privilege user (FGM user) to an administrative user (GGU user), including the administrator, or create new users even without an admin role.

CVE-2022-45170 – LIVEBOX Collaboration vDesk

Vulnerability Description: Cryptographic Issue (File Encryption API) – CWE-310

Software Version:

NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45170
CVSv3: 6,5
Severity: Medium

Credits: Luca Borzacchiello, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.

CVE-2022-45175 – LIVEBOX Collaboration vDesk

Vulnerability Description: Insecure Direct Object Reference (Cached Files) – CWE-639

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45175
CVSv3: 6,5

Severity: Medium
Credits: Luca Borzacchiello, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Insecure Direct Object Reference can occur under the 5.6.5-3/doc/{ID-FILE]/c/{N]/{C]/websocket endpoint. A malicious unauthenticated user can access cached files in the OnlyOffice backend of other users by guessing the file ID of a target file.

CVE-2022-45180 – LIVEBOX Collaboration vDesk

Vulnerability Description: Improper Access Control (Export of Users)- CWE-284

Software Version:
NIST: https://nvd.nist.gov/vuln/detail/CVE-2022-45180

CVSv3: 6,5
Severity: Medium
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli

An issue was discovered in LIVEBOX Collaboration vDesk through v018.Broken Access Control exists under the /api/v1/vdesk_{DOMAIN]/export endpoint.A malicious user, authenticated to the product without any specific privilege, can use the API for exporting information about all users of the system (an operation intended to only be available to the system administrator).

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 110 CVE, dove oltre 10 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

+358% di attacchi DDoS: l’inferno digitale si è scatenato nel 2024

Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...

25 Milioni di SIM da Sostituire dopo l’Attacco Cyber! Il Disastro di SK Telecom Sconvolge la Corea del Sud

Il gigante delle telecomunicazioni sudcoreano SK Telecom ha sospeso le sottoscrizioni di nuovi abbonati in tutto il paese, concentrandosi sulla sostituzione delle schede SIM di 25 milioni di...