Durante un’analisi di sicurezza effettuata su alcuni prodotti di LiveBox, il laboratorio di ricerca 0-day di TIM, il Red Team Research (RTR), ha rilevato diverse vulnerabilità sul software di Collaboration vDesk.
Comunicato tempestivamente da RTR all’azienda attraverso il processo di Coordinated Vulnerability Disclosure (CVD), LiveBox ha prontamente emesso le fix di sicurezza sull’applicazione.
Di seguito l’elenco completo delle CVE Emesse su LiveBox:
È importante che le aziende (come in questo caso Live Box) collaborino con la community hacker che scoprono vulnerabilità di sicurezza in modo etico e trasparente sui loro prodotti perché questo consente loro di identificare e correggere le vulnerabilità prima che possano essere sfruttate da malintenzionati, migliorare la sicurezza dei loro prodotti e aumentare la fiducia dei clienti nei confronti dell’azienda.
Inoltre, la collaborazione con gli hacker può portare a innovazioni e miglioramenti nella sicurezza e nella privacy dei prodotti stessi.
Collaboration vDesk
Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.
Il software di LiveBox comprende ben nove moduli:
vShare: consente la condivisione di file in modo sicuro tramite la crittografia AES 256 BIT;
vMeet: la piattaforma di chat, video chat e videoconferenze;
vPec: un client di posta unico sia per email tradizionali che certificate (PEC);
vFlow: la piattaforma che si occupa della digitalizzazione delle attività automatizzandole, semplifica i flussi di lavoro e gestisce gli asset digitali in tutto l’ecosistema;
vCal: il cloud aziendale;
vPeople: sistema multi user di gestione dei contatti;
vCanvas: digital workplace solution che semplifica l’accesso al network da qualsiasi dispositivo;
vDpA: la piattaforma che consente la firma digitale per contratti e documenti;
v2FA: il sistema di sicurezza per l’accesso al proprio account.
Le CVE emesse dal MITRE
Da quanto si legge sul sito dell’azienda all’indirizzo www.gruppotim.it/redteam, ancora la severity non è stata pubblicata, anche se sul National Vulnerability Database (NVD), la quotazione del National Institute of Technology (NIST) è stata emessa come dai link riportati di seguito.
Nel dettaglio, le vulnerabilità rilevate sono le seguenti:
An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.
An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication can occur under the /api/v1/vdeskintegration/challenge endpoint. Because only the client-side verifies whether a check was successful, an attacker can modify the response, and fool the application into concluding that the TOTP was correct.
CVE-2022-45174 – LIVEBOX Collaboration vDesk
Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287
An issue was discovered in LIVEBOX Collaboration vDesk through v018. A Bypass of Two-Factor Authentication for SAML Users can occur under the /login/backup_code endpoint and the /api/v1/vdeskintegration/challenge endpoint. The correctness of the TOTP is not checked properly, and can be bypassed by passing any string as the backup code.
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. Broken Access Control exists under the /api/v1/vdeskintegration/saml/user/createorupdate endpoint, the /settings/guest-settings endpoint, the /settings/samlusers-settings endpoint, and the /settings/users-settings endpoint. A malicious user (already logged in as a SAML User) is able to achieve privilege escalation from a low-privilege user (FGM user) to an administrative user (GGU user), including the administrator, or create new users even without an admin role.
An issue was discovered in LIVEBOX Collaboration vDesk before v018. Multiple Broken Access Control can occur under the /api/v1/registration/validateEmail endpoint, the /api/v1/vdeskintegration/user/adduser endpoint, and the /api/v1/registration/changePasswordUser endpoint. The web application is affected by flaws in authorization logic, through which a malicious user (with no privileges) is able to perform privilege escalation to the administrator role, and steal the accounts of any users on the system.
CVE-2022-45175 – LIVEBOX Collaboration vDesk
Vulnerability Description: Insecure Direct Object Reference (Cached Files) – CWE-639
An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Insecure Direct Object Reference can occur under the 5.6.5-3/doc/{ID-FILE]/c/{N]/{C]/websocket endpoint. A malicious unauthenticated user can access cached files in the OnlyOffice backend of other users by guessing the file ID of a target file.
CVE-2022-45180 – LIVEBOX Collaboration vDesk
Vulnerability Description: Improper Access Control (Export of Users)- CWE-284
Credits: Andrea Carlo Maria Dattola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018.Broken Access Control exists under the /api/v1/vdesk_{DOMAIN]/export endpoint.A malicious user, authenticated to the product without any specific privilege, can use the API for exporting information about all users of the system (an operation intended to only be available to the system administrator).
Il Red Team Research di TIM
Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.
Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.
Nel corso del tempo, sono stati emessi oltre 110 CVE, dove oltre 10 risultano con severità Critical (9,8 di score CVSSv3).
Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.
Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
L’evoluzione dell’Intelligenza Artificiale ha superato una nuova, inquietante frontiera. Se fino a ieri parlavamo di algoritmi confinati dietro uno schermo, oggi ci troviamo di fronte al concetto di “Meatspace Layer”: un’infrastruttura dove le macchine non…
Negli ultimi anni, la sicurezza delle reti ha affrontato minacce sempre più sofisticate, capaci di aggirare le difese tradizionali e di penetrare negli strati più profondi delle infrastrutture. Un’analisi recente ha portato alla luce uno…
Negli ultimi tempi, la piattaforma di automazione n8n sta affrontando una serie crescente di bug di sicurezza. n8n è una piattaforma di automazione che trasforma task complessi in operazioni semplici e veloci. Con pochi click…
Articolo scritto con la collaborazione di Giovanni Pollola. Per anni, “IA a bordo dei satelliti” serviva soprattutto a “ripulire” i dati: meno rumore nelle immagini e nei dati acquisiti attraverso i vari payload multisensoriali, meno…
Negli ultimi giorni è stato segnalato un preoccupante aumento di truffe diffuse tramite WhatsApp dal CERT-AGID. I messaggi arrivano apparentemente da contatti conosciuti e richiedono urgentemente denaro, spesso per emergenze come spese mediche improvvise. La…
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia