Slack исправил серьезную ИБ-уязвимость
Эвана Кустодио (Evan Custodio) обнаружил критическую уязвимость информационной безопасности в мессенджере для корпоративного общения Slack.
Эксплуатация бага позволяла злоумышленникам создавать автоматические боты, которые могли бы атаковать уязвимый аккаунт Slack, при этом перехватывая все активные сеанс жертвы, а также сообщения, элементы кода и иные доступные данные.
При этом не стоит забывать, что Slack интегрирован с десятками сервисов для разработки, такими как: GitHub, Dropbox, Sentry, Google Docs,Hangouts, Twitter, Trello, MailChimp, Jirа и другими, что делает Slack самым популярном в мире мессенджером для IT компаний, который используется между продуктовыми командами при написании кода и разработке дополнительного функционала.
Как выглядит цепочка эксплуатации уязвимости
- HTTP-запрос к CTLE к произвольному запросу (отравленный сокет) на slackb.com
- Запрос с помощью хиджекинга в виде HTTP-запросов вместо использования GET запросов по протоколу HTTPS://<URL-адрес> на slackb.com
- Запрос GET https: / / <URL> HTTP / 1.1 на сокете backend сервера приводит к 301 перенаправлению на https: / / <URL> с slack cookies (самое главное-D cookie)
- Производится кража cookie жертв, используя сервер collaborator в качестве URL в атаке.
- Далее, накапливается огромное количество файлов cookie сеансов d и производится кража всех данные пользователя (компании, использующую Slack).
Эван Кустодио сообщил об уязвимости в рамках ИБ мероприятия Slack HackerOne, за что получил награду в объеме 6500 долларов США, а команда мессенджера устранила брешь в течение 24 часов после получения сообщения о ней.